Как удалить trojan.carberp.30 (klpclst.dat)
Мой маленький недельный отпуск закончился и работа вновь накрыла с головой. Даже столь небольшой промежуток времени был богат на события... ну да это совсем другая тема, которой посвящу один из ближайших постов.
Давненько ничего не писал о троянцах, так что встречайте нового героя - trojan.carberp.30. О Carberp я слышал только то, что он внедряется в популярные системы дистанционного банковского обслуживания, но вот попался данный экземпляр на вполне заурядном офисном компьютере.
Честно говоря, симптомы были странные, OpenOffice запускался через раз, вернее начинал стартовать только после чистки /temp/ каталога пользователя. При загрузке компьютера, DrWeb постоянно находил вирус и бережно складывал его в карантин.
Однако, полная проверка компьютера, к моему удивлению, ничего не выявила, хотя вирус продолжал упорно находиться после каждой перезагрузки.
Дело ясное, но явно не чистое... Вооружаемся загрузочной флешкой (можно liveCD) и решаем проблему самостоятельно, руками. В моем случае имеется зараженная Windows 7 32bit (специально заражать другие машины времени и желания не было), потому пример будет именно этой системы.
Троянец прятался в каталоге пользователя:
C:\Users\учетная_запись\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0mOwp2vxx1s.exe
Отдельное спасибо Microsoft, что так далеко запрятали автозапуск программ.
0mOwp2vxx1s.exe - это и есть сам троянец (буквы и цифры могут быть совершенно разными, здесь привел для примера)
Удивительно, но любимые вирусами ключи реестра были не тронуты. Заодно почистил TMP каталоги и место, куда вирус создавал свою копию (и откуда его гонял DrWeb) - C:\ProgramData\[белиберда_из_цифр_и_букв].
Не помешает проверить и файл hosts (подробнее читайте тут). Т.к. вместо любимых соцсетей происходило перенаправление на сайт злоумышленников, хотя может это просто совпадение. Бдительнось в любом случае не помешает.
Комментариев: 1
Спасибо! Все четко и конкретно. Помогло справиться с нечистью.