Нужна помощь.
MS Security обнаружил траяна типа carberp и действительно появился файл klpclst.dat.
MS Security его "убивает", но до лишь перезагрузки.
Полное сканирование CureIt от drWeb (и MS Security после удаления carberp) траянов и вирусов не обнаруживает.

Вскоре после этого перестал загружаться Хром от имени юзера, т.е. загружается только под администратором; изменилось и поведение Яндекс-почты.
В диспетчере задач появился подозрительный процесс igfxtray.exe.

Все логи, которые посылаю, (кроме последнего со скриптом №2) выполнены при "убитом" carberp и остановленном igfxtray.exe.

После перезагрузки, выполненной после скрипта №3, MS Security не загрузился автоматически, что неприятно отдельно

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

Посылаю лог

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
c:\users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PWTvzxQBNUM.exe
Driver::

Folder::
C:\lT5tG6gd6zj5jG6
Registry::

FileLook::

DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Спасибо!
Брандмауер и антивирь снова отключить?

Да, желательно, чтобы не было зависаний

Посылаю, но архиватор вдруг отказывает в доступе к этому файлу, так посылаю не архивированным, простите.

Как самочувствие системы?

В целом пока не тестировал подробно... Проверяю

Хром стал запускаться (!), яндекс почта перестала дурить, MS секюрити сообщений монитора о наличии вируса не вывешивет.
Похоже, что проблема решена.
Спасибище! :))

Влас391, Выполните рекомендации после лечения (http://forum.oszone.net/post-1838507-9.html)

+

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://safezone.cc/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://safezone.cc/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up

вместо деинсталляции идет запуск ComboFix с окончательной записью, что деинсталляция не выполнена (?)
Возможно следует предварительно отключить бранмауер и MS секьюрити?

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up »
Вот это выполните

Да, спасибо.
ComboFix и сам OTCleanIt после перезагрузки исчезли.
Спасибище!

При проверке диска С обнаруживаются папки с подозрительными именами:
32788R22FWJFW
gtfirstboot
lT5tG6gd6zj5jG6
все пустые (если смотреть обычным образом) с датой создания сегодня
Проверка этих папок MS Security заканчивается успешно.
Удалить их?

И еще: диспетчер показывает подозрительные процессы:

hkcmd.exe user 508 КБ hkcmd Module
igfxpers.exe user 304 КБ persistence Module
igfxsrvc.exe user 888 КБ igfxsrvc Module
igfxtray.exe user 280 КБ igfxTray Module

Особенно тревожит последний - инфу о том, что он часть трояна я уже встречал

выполните лог RSIT
+
Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Лог RSIT посылаю.
В "ARO 2012" никаких пунктов для обновления базы не вижу, как и пунктов "Perform Full Scan", и т.п.
похоже, что мы говорим о разных продуктах

папки C:\lT5tG6gd6zj5jG6 и C:\32788R22FWJFW удалите ручками
выполните полное сканирование МВАМ и ничего не удаляя, прикрепите сюда лог сканирования

Полное сканирование с помощью "ARO 2012" выполнил, но лог сканирования в виде файла получить не могу - не вижу нужных опций. :((
(упомянутые две папки удалил)