Традиционно: появились в корне системного диска папки с названиями абракадабра, в них klpclst.dat. Потом перестало показывать содержимое системного диска. Проблема решилась через avz. Пыталась фиксить через avz и основную проблему, всё успешно удалялось, но после перезагрузки опять появлялись папки (но уже пустые, скрытых файлов также не было). Когда система начинала работать, сначала происходила загрузка - когда я успевала открывать системный диск, странных папок не было, потом вдруг на несколько секунд появлялся синий экран, и она как бы перезагружалась по новой - уже с появлением папок. Когда готовилась к созданию темы, делала логи по схеме, запустила также cureit в безопасном режиме. Часа три всё проверялось, потом появился серый экран с полосочками в виде таблицы в верху, держался около получаса. Перезагрузила компьютер. Перестала работать сеть. Появилась еще одна папка с 57 файлами в 3 мб размером, с иконкой в виде монитора синего.

Приветствую.
смотрю логи

Пока выполните еще лог такой

Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS) (http://dsrt.dyndns.org/files/uvs_v374.zip)

Как подготовить лог UVS (http://safezone.cc/forum/showthread.php?t=14508)

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Documents and Settings\Admin\Application Data\6E4E5C.exe','');
QuarantineFile('D:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\vMNMTbSNG3o.exe','');
QuarantineFile('D:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\CQESZuQprXE.exe','');
QuarantineFile('D:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\BmtPno1zbHs.exe','');
DeleteFile('D:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\CQESZuQprXE.exe');
DeleteFile('D:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\BmtPno1zbHs.exe');
DeleteFile('D:\Documents and Settings\Admin\Application Data\6E4E5C.exe');
DeleteFile('D:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\vMNMTbSNG3o.exe');
DeleteFileMask('D:\kFv3DjpT2zoxUWd', '*.*', true);
DeleteDirectory('D:\kFv3DjpT2zoxUWd');
DeleteFileMask('D:\7a6vHav3hoNfVzI', '*.*', true);
DeleteDirectory('D:\7a6vHav3hoNfVzI');
DeleteFileMask('D:\Documents and Settings\Admin\Application Data\kFv3DjpT2zoxUWd', '*.*', true);
DeleteDirectory('D:\Documents and Settings\Admin\Application Data\kFv3DjpT2zoxUWd');
DeleteFileMask('D:\Documents and Settings\Admin\Application Data\7a6vHav3hoNfVzI', '*.*', true);
DeleteDirectory('D:\Documents and Settings\Admin\Application Data\7a6vHav3hoNfVzI');
DeleteFileMask('D:\7a6vHav3hoNfVzI', '*.*', true);
DeleteDirectory('D:\7a6vHav3hoNfVzI');
DeleteFileMask('D:\Documents and Settings\Admin\Application Data\ZFBBUAKNlAv5Udc', '*.*', true);
DeleteDirectory('D:\Documents and Settings\Admin\Application Data\ZFBBUAKNlAv5Udc');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму (http://www.oszone.net/virusnet/) .

К прошлому сообщению почему-то не прикрепилось.

после запуска скрипта папки не пропали.

если открываешь папку 32788R22FWJFW, ту, у которой иконка с виду как "Мой компьютер", то появляется образ "Моего компьютера" с отображенными жесткими дисками и сканерами и камерами.

Логи новые сделайте АВЗ и РСИТ.

вот обновленные логи

Сделайте лог UVS
Сделайте еще лог Universal Virus Sniffer (UVS) »


и потом

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) -
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://data.mbamupdates.com/tools/mbam-rules.exe).

Лог UVS

а куда потом результаты и в какой форме слать после MBAM?

Копируете и в сообщение или копируете в блокнот сохраняете и прикрепляете к сообщению.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('D:\kFv3DjpT2zoxUWd', '*.*', true);
DeleteFileMask('D:\7a6vHav3hoNfVzI', '*.*', true);
DeleteFileMask('D:\32788R22FWJFW', '*.*', true);
DeleteFileMask('D:\ZFBBUAKNlAv5Udc', '*.*', true);
DeleteFileMask('D:\Documents and Settings\Admin\Application Data\7a6vHav3hoNfVzI', '*.*', true);
DeleteFileMask('D:\Documents and Settings\Admin\Application Data\ZFBBUAKNlAv5Udc', '*.*', true);
DeleteDirectory('D:\kFv3DjpT2zoxUWd');
DeleteDirectory('D:\7a6vHav3hoNfVzI');
DeleteDirectory('D:\32788R22FWJFW');
DeleteDirectory('D:\ZFBBUAKNlAv5Udc');
DeleteDirectory('D:\Documents and Settings\Admin\Application Data\7a6vHav3hoNfVzI');
DeleteDirectory('D:\Documents and Settings\Admin\Application Data\ZFBBUAKNlAv5Udc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Версия базы данных: v2012.02.20.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Admin :: MICROSOF-8AA756 [администратор]

20.02.2012 23:23:04
mbam-log-2012-02-20 (23-40-30).txt

Тип сканирования: Полное сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 175758
Времени прошло: 13 минут , 10 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 3
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 10
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\13\380eeecd-7f9cf3e9 (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\26\c4f6c5a-65e4bf64 (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\29\6053aa9d-76e0a304 (Spyware.Sniffer) -> Действие не было предпринято.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\36\712d624-75b777a3 (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\46\271f4d6e-37d80ca2 (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001038.exe (Trojan.FakeMS) -> Действие не было предпринято.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001043.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001044.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001045.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

(конец)

выполните скрипт АВЗ с предыдущего моего сообщения пост 10 (http://forum.oszone.net/post-1863126-10.html) и потом в МБАМ удалите эти строки В МБАМ можете удалить и сейчас - если еще не закрыли МБАМ.

после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные).



Обнаруженные файлы: 10
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\13\380eeecd-7f9cf3e9 (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\26\c4f6c5a-65e4bf64 (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\29\6053aa9d-76e0a304 (Spyware.Sniffer) -> Действие не было предпринято.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\36\712d624-75b777a3 (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\46\271f4d6e-37d80ca2 (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001038.exe (Trojan.FakeMS) -> Действие не было предпринято.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001043.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001044.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001045.exe (Trojan.Agent.PE5) -> Действие не было предпринято.
D:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

не успела первый раз удалить объекты МБАМ, потому что АБЗ перезагрузило комп. второй раз сканирование показало уже 13... я их удалила

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 3
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Помещено в карантин и успешно исправлено.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Помещено в карантин и успешно исправлено.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Помещено в карантин и успешно исправлено.

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 10
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\29\6053aa9d-76e0a304 (Spyware.Sniffer) -> Помещено в карантин и успешно удалено.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\13\380eeecd-7f9cf3e9 (Trojan.Agent.PE5) -> Помещено в карантин и успешно удалено.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\26\c4f6c5a-65e4bf64 (Trojan.Agent.PE5) -> Помещено в карантин и успешно удалено.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\36\712d624-75b777a3 (Trojan.Agent.PE5) -> Помещено в карантин и успешно удалено.
D:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\46\271f4d6e-37d80ca2 (Trojan.Agent.PE5) -> Помещено в карантин и успешно удалено.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001038.exe (Trojan.FakeMS) -> Помещено в карантин и успешно удалено.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001043.exe (Trojan.Agent.PE5) -> Помещено в карантин и успешно удалено.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001044.exe (Trojan.Agent.PE5) -> Помещено в карантин и успешно удалено.
D:\System Volume Information\_restore{493177EF-4D9D-4E8F-B853-FBFBCD569E41}\RP2\A0001045.exe (Trojan.Agent.PE5) -> Помещено в карантин и успешно удалено.
D:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Помещено в карантин и успешно удалено.

(конец)

Лог RSIT новый сделайте .

огромное спасибо. можно считать [решено]?

Лог RSIT дайте для проверки .

Папки появляются ?

рсит

По логу чисто.

Выполните рекомендации после лечения (http://forum.oszone.net/post-1838507-9.html)

спасибо!