Здравствуйте! Сегодня что-то залазил на диск C и увидел несколько папок с непонятным названием на латинском,в каждом из них был файл klpclst.dat. Поудалял эти вещи,потом заново появились папки,уже пустые,но с той же абракадаброй в названии. Что делать?
И ещё в Автозагрузке появились 3 непонятных файла: DN0WI29Ohrk.exe, SkZO5sgVq4Y.exe, TW2aPcBUviM.exe. Причем,пытаясь их удалить,мне выдает сообщение,что они являются системными и их удаление может повлиять на работу компьютера. Что делать? В компьютере особо не разбираюсь...если возможно,объясните поподробней,буду весьма благодарен.

Да,и ещё: что это вообще за файл такой и чем опасен?

P.S. Извиняюсь,не в том форуме по ошибке создал тему.

Здравствуйте.
Подготовьте логи по правилам (http://forum.oszone.net/thread-98169.html)

Переношу в лечение, там на месте разберёмся.

Так,вроде всё сделал так,как сказано в правилах. Выкладываю логи.

1.
• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\DN0WI29Ohrk.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\TW2aPcBUviM.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\DN0WI29Ohrk.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\TW2aPcBUviM.exe');
DeleteFileMask('C:\yJ8LgG2WWP3vnfC', '*.*', true);
DeleteDirectory('C:\yJ8LgG2WWP3vnfC');
DeleteFileMask('C:\OrzsF0fStXxG1ci', '*.*', true);
DeleteDirectory('C:\OrzsF0fStXxG1ci');
DeleteFileMask('C:\WRkYSD6IMMyTzYv', '*.*', true);
DeleteDirectory('C:\WRkYSD6IMMyTzYv');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\MicroST', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\MicroST');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму (http://www.oszone.net/virusnet/)

2.
• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)

O4 - Startup: DN0WI29Ohrk.exe
O4 - Startup: TW2aPcBUviM.exe




Обновите базы АВЗ и повторите логи.

2.
• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
O4 - Startup: DN0WI29Ohrk.exe
O4 - Startup: TW2aPcBUviM.exe »
У меня нет этих строк,когда сканирую. Что делать? Всё делал,как сказано в ссылке.
Заглянул в папку "Автозагрузки": исчезли эти файлы странные.
Насчёт папок: помогло,система стала быстрее даже работать.

Обновите базы АВЗ и повторите логи. »

+

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)

У меня нет этих строк,когда сканирую. »
Это хорошо значит АВЗ всё подчистил.

Это хорошо значит АВЗ всё подчистил. »
Спасибо всем за помощь!
Не подскажете,как вся эта дрянь могла влиять на систему? А то уж очень интересно,что это и с чем его едят.

Погодите еще не все:

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFileF('C:\Documents and Settings\Admin\Application Data\Haopw', '*.*', false, '', 0, 0);
QuarantineFileF('C:\Documents and Settings\Admin\Application Data\Ybxuwo', '*.*', false, '', 0, 0);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Ybxuwo\eqyhx.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Ybxuwo\eqyhx.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\igfxtray.dat');
DeleteFile('C:\WINDOWS\system32\ieunitdrf.inf');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\Haopw', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\Haopw');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\Ybxuwo', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\Ybxuwo');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{B56CF883-E5F0-A7DF-40CB-536B305BB3EC}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT (http://safezone.cc/forum/showthread.php?t=9):

O4 - HKCU\..\Run: [{B56CF883-E5F0-A7DF-40CB-536B305BB3EC}] "C:\Documents and Settings\Admin\Application Data\Ybxuwo\eqyhx.exe"


Повторите лог RSIT

Насчёт фикса в HJT - нет этой строчки
O4 - HKCU\..\Run: [{B56CF883-E5F0-A7DF-40CB-536B305BB3EC}] "C:\Documents and Settings\Admin\Application Data\Ybxuwo\eqyhx.exe"

Лог RSIT прикрепил.

У вас был backdoor.win32.bredolab и Trojan.ZbotR.
Повторите сканирование МБАМ и удалите





C:\SUPPORT\Malwarebytes' Anti-Malware 1.50 Public Beta\Keygan.exe (Malware.Tool) -> Действие не было предпринято.
C:\System Volume Information\_restore{E1F47504-BCEF-4CA4-B1C3-5B9DC87E9E86}\RP133\A0035158.exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{E1F47504-BCEF-4CA4-B1C3-5B9DC87E9E86}\RP141\A0035874.exe (Trojan.Krypt) -> Действие не было предпринято.
C:\System Volume Information\_restore{E1F47504-BCEF-4CA4-B1C3-5B9DC87E9E86}\RP153\A0048191.exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{E1F47504-BCEF-4CA4-B1C3-5B9DC87E9E86}\RP154\A0048215.exe (Trojan.Agent) -> Действие не было предпринято.


Malwarebytes' Anti-Malware 1.50 Public Beta\Keygan.exe -- вам кейген для МБАМ не нужен !!! Просто откажитесь от пробной версии и сможете использовать программу как сканер.

вы второй карантин после скрипта alex_sev так и не отправили.
Отправьте.

Что с проблемой ?

У вас был backdoor.win32.bredolab и Trojan.ZbotR. »
Что с ними делать?
вы второй карантин после скрипта alex_sev так и не отправили.
Отправьте. »
Этот я уже второй раз отправил...вчера вечером после скрипта и сейчас утром.Malwarebytes' Anti-Malware 1.50 Public Beta\Keygan.exe -- вам кейген для МБАМ не нужен !!! Просто откажитесь от пробной версии и сможете использовать программу как сканер. »
А у меня не пробная версия,нормальная стоит

C:\SUPPORT\Malwarebytes' Anti-Malware 1.50 Public Beta\Keygan.exe (Malware.Tool) -> Действие не было предпринято.
C:\System Volume Information\_restore{E1F47504-BCEF-4CA4-B1C3-5B9DC87E9E86}\RP133\A0035158.exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{E1F47504-BCEF-4CA4-B1C3-5B9DC87E9E86}\RP141\A0035874.exe (Trojan.Krypt) -> Действие не было предпринято.
C:\System Volume Information\_restore{E1F47504-BCEF-4CA4-B1C3-5B9DC87E9E86}\RP153\A0048191.exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{E1F47504-BCEF-4CA4-B1C3-5B9DC87E9E86}\RP154\A0048215.exe (Trojan.Agent) -> Действие не было предпринято. »
Так,удалил это. Лог прикрепил.

Что с проблемой?

Что с проблемой? »
Да проблема моего вопроса решена уже,ещё вчера вечером

Тогда ознакомьтесь с этими рекомендациями (http://forum.oszone.net/post-1838507-9.html)

Спасибо Вам всем огромнейшее!!!

Здравствуйте ещё раз! Извините,что снова к Вам обращаюсь за помощью. Снова появился файл klpclst.dat в папках kFv3DjpT2zq6TN8 и Wnb0rpKaZc613PC. Логи прикрепляю. Помогите пожалуйста...спасибо.

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению." (http://safezone.cc/forum/showthread.php?t=2773)

Так,сделал скан с помощью ComboFix,прикрепляю лог