Здравствуйте! На диске C имеется папка «vztApC3LHVPM8a6», а в ней файл «klpclst.dat». Как мне от него избавиться? Я сканировал систему программой Dr.Web CureIt!, она определила его как Trojan.Carberp.30. После лечения она его удалила, а после перезагрузки компьютера, он снова появлялся в этой папке.
P.S. Опишите, пожалуйста, поподробнее, а то я в компьютерах не особо разбираюсь. Заранее благодарен!

Посмотрю...

- Отключите антивирус/фаервол и интернет;
- Выполните в АВЗ: (http://forum.oszone.net/post-1430637-4.html)
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\a4zp9gn1pv.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\ZKHfHXq2PbA.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\3zbw0zc6.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\3dck1xl2ahf.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\3dck1xl2ahf.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\3zbw0zc6.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\ZKHfHXq2PbA.exe');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\a4zp9gn1pv.exe');
DeleteFileMask('C:\vztApC3LHVPM8a6','*',true);
DeleteFileMask(':\Documents and Settings\Admin\Application Data\H4r5wpxJmzt2mvo','*',true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\MicroST','*',true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\23QgRedhjEowQx4','*',true);
DeleteDirectory('C:\vztApC3LHVPM8a6');
DeleteDirectory(':\Documents and Settings\Admin\Application Data\H4r5wpxJmzt2mvo');
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\MicroST');
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\23QgRedhjEowQx4');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите через данную форму (http://www.oszone.net/virusnet). Укажите ссылку на тему и ник на форуме.

- Повторите логи АВЗ и РСИТ.

Что с проблемой?

Спасибо.

Пока создавал тему у меня появилась ещё одна папка "IzDevWz86OEVAK4" с таким же файлом "klpclst.dat" + там ещё находится скрытый файл "wndsksi.inf". Эта папка, то появляется, то исчезает.

Папки "vztApC3LHVPM8a6" с файлом "klpclst.dat" больше нет. А папка "IzDevWz86OEVAK4" с файлами "klpclst.dat" и "wndsksi.inf" попрежнему то появляется, то исчезает.

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

Всё сделал, только не уверен, что правильно. После запуска этой программы, появилось окно. Я сначала нажал "Yes", после этого пошло соединение с каким-то сайтом. Я всё отменил. И во второй раз уже нажал "No". Не знаю, правильно ли я всё сделал.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
c:\documents and settings\Admin\Главное меню\Программы\Автозагрузка\jdZeD2doanc.exe
c:\docume~1\Admin\LOCALS~1\Temp\166C.tmp

Driver::


NetSvc::


Folder::
C:\IzDevWz86OEVAK4


Registry::

FileLook::

DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Запаковать в архив? Если правильно понял, то вот :) :

Что с проблемой?

Спасибо вам огромное за помощь! Проблема, вроде как устранена, папка с вирусом исчезла. :) Правда, у меня есть ещё несколько вопросов на эту тему. Если вас не затруднит, то ответьте, пожалуйста.
1. Что делать со всеми папками (rsit; MSOCache; Qoobox), которые появились в процессе избавления от вируса на диске C? Можно ли их удалить вручную?
2. В случае появления такого вируса вновь, помогут ли все данные рекомендации в этой теме, или же здесь нужен индивидуальный подход к каждому конкретному случаю?
3. Что это за вирус такой, и как он вредит компьютеру? Стоит ли менять пароли, после уничтожения вируса, в социальных сетях и на других сайтах?
Заранее спасибо!

1. Что делать со всеми папками (rsit; MSOCache; Qoobox), которые появились в процессе избавления от вируса на диске C? Можно ли их удалить вручную? »
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://safezone.cc/images/combofix-uninstall.jpg
Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe), запустите, нажмите Clean up

2. В случае появления такого вируса вновь, помогут ли все данные рекомендации в этой теме, или же здесь нужен индивидуальный подход к каждому конкретному случаю? »
Индивидуальный подход.

3. Что это за вирус такой, и как он вредит компьютеру? Стоит ли менять пароли, после уничтожения вируса, в социальных сетях и на других сайтах? »
Один из файлов:
C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\a4zp9gn1pv.exe - https://www.virustotal.com/file/af002908118a721cfc3fa83958ad9b9a1630d36dc9f7454db9079bfc97829f08/analysis/1326905538/

Пароли смените...

Выполните рекомендации после лечения (http://forum.oszone.net/post-1838507-9.html)

Спасибо большое за помощь и ответы. :) Тему можно закрывать.