Майкрософтовский антивирус выявил трояна: Win32/carberp!dat
Файл расположен: C:\qK0XvJAuw1f9RLo\klpclst.dat
Когда антивирус удаляет файл, он снова появляется через некоторое время, и я выяснил одну закономерность:
В диспетчере задач есть процесс: svchost.exe (расположен: C:\Windows\System32 , имеет размер 20.5 кб, запущен от имени пользователя ) - он иногда грузит процессор
на 50 % , ну и вот когда антивирус удалил klpclst.dat я решил завершить этот подозрительный процесс svchost.exe , и этот процесс снова запускается (только когда компьютер подключен к интернету) отправляя исходящий трафик в сеть
и через пару секунд файл klpclst.dat снова в папке(((.

Сейчас посмотрю логи.

Отключите:
Антивирус/Файерволл

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" (http://safezone.cc/forum/showthread.php?t=10)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetAVZGuardStatus(True);
QuarantineFileF('C:\securesxxx.exe','*.*',true,'',0,0);
QuarantineFile('C:\WINDOWS\system32\svrhost.exe','');
QuarantineFile('C:\Windows\cleaner.exe','');
QuarantineFile('C:\Windows\System32\MarineAquarium3.scr','');
QuarantineFile('C:\Windows\system32\regedit.exe','');
QuarantineFile('C:\Users\Демчинко Александор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.exe','');
QuarantineFileF('C:\Users\Демчинко Александор\AppData\Roaming\MicroST','*.*',true,'',0,0);
DeleteFile('C:\WINDOWS\system32\svrhost.exe');
DeleteFile('C:\Users\Демчинко Александор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.exe');
DeleteFile('C:\Windows\system32\regedit.exe');
DeleteFile('C:\Windows\cleaner.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\svrhost.exe');
DeleteFileMask('C:\securesxxx.exe','*.*',true);
DeleteFileMask('C:\Users\Демчинко Александор\AppData\Roaming\MicroST','*.*',true);
DeleteDirectory('C:\securesxxx.exe');
DeleteDirectory('C:\Users\Демчинко Александор\AppData\Roaming\MicroST');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


Архив quarantine.zip из папки с AVZ отошлите через веб-форму (http://www.oszone.net/virusnet/).


Сделайте новые логи AVZ & RSIT


Скачайте Malwarebytes' Anti-Malware (http://www.malwarebytes.org/mbam-download-exe-random.php), установите, обновите базы
Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки
После сканирования должен открыться лог. Если этого не произошло, то нажмите ОК => Отчеты. Откройте лог, сохраните его и прикрепите к сообщению

Спасибо, помогло...
Только вот Архив quarantine.zip не появился....

Только вот Архив quarantine.zip не появился.... »
Да, конечно, это моя ошибка..

Отключите:
Антивирус/Файерволл

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" (http://safezone.cc/forum/showthread.php?t=10)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetAVZGuardStatus(True);
DeleteFileMask('C:\qK0XvJAuw1f9RLo','*.*',true);
DeleteDirectory('C:\qK0XvJAuw1f9RLo');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.



ПК перезагрузится. Архив quarantine.zip из папки с AVZ отошлите через веб-форму (http://www.oszone.net/virusnet/).

Программа Spyware Process Detector Вам знакома? Если она Вам нужна, то не удаляйте её компоненты в MBAM.

Удалите в MBAM (http://safezone.cc/forum/showthread.php?t=16050) только данные элементы

Обнаруженные ключи в реестре: 3
HKCR\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (Adware.MyWebSearch) -> Действие не было предпринято.
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\russian_8_barhudarov.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.

Обнаруженные папки: 3
C:\Program Files\Spyware Process Detector (Rogue.SpywareProcessDetector) -> Действие не было предпринято.
C:\Program Files\Spyware Process Detector\Base (Rogue.SpywareProcessDetector) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar (Trojan.Agent) -> Действие не было предпринято.

Обнаруженные файлы: 44
C:\sound32.dll (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Local\Temp\sfx00000\nevosoft.newdrm.protection.crack.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Local\Temp\sfx00001\nevosoft.newdrm.protection.crack.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Local\Temp\sfx00002\nevosoft.newdrm.protection.crack.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Local\Temp\sfx00003\nevosoft.newdrm.protection.crack.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Local\Temp\sfx00004\nevosoft.newdrm.protection.crack.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Local\Temp\sfx00005\nevosoft.newdrm.protection.crack.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Local\Temp\sfx00006\nevosoft.newdrm.protection.crack.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Local\Temp\0.8538409572189932.exe (Exploit.Drop.2) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
C:\Program Files\Spyware Process Detector\spd321.dll (Rogue.SpywareProcessDetector) -> Действие не было предпринято.
C:\Program Files\Spyware Process Detector\Base\process.spd (Rogue.SpywareProcessDetector) -> Действие не было предпринято.
C:\Program Files\Spyware Process Detector\Base\safe.spd (Rogue.SpywareProcessDetector) -> Действие не было предпринято.
C:\Program Files\Spyware Process Detector\Base\startup.spd (Rogue.SpywareProcessDetector) -> Действие не было предпринято.
C:\Program Files\Spyware Process Detector\Base\system.spd (Rogue.SpywareProcessDetector) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\after.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\dot.gif (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\htmlayout.dll (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\key (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\logo.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\logo2.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\MyriadWebPro-Condensed.ttf (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\rules.css (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\s.htm (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\sb-scroll-back.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\sb-scroll-base.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\sb-scroll-slider.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\scroll.css (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\sview (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Демчинко Александор\AppData\Roaming\winxrar\xsendexe.tmp (Trojan.Agent) -> Действие не было предпринято.

Сделайте новые логи MBAM & RSIT