Майкрософтовский антивирус выявил : TrojanDownloader:Win32/Carberp!dat
Файл расположен: C:\A0oLTL6DUzHaEyH\klpclst.dat
Когда антивирус удаляет файл, он снова появляется через некоторое время.
В диспетчере задач есть процесс: svchost.exe, запущен от имени пользователя.

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\3t2NovXh3gc.exe','');
DeleteFile('C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\3t2NovXh3gc.exe');
DeleteFile('C:\plg.txt');
DeleteFileMask('C:\puiNhzet86LH9tZ', '*.*', true);
DeleteDirectory('C:\puiNhzet86LH9tZ');
DeleteFileMask('C:\Users\Сергей\AppData\Roaming\MicroST', '*.*', true);
DeleteDirectory('C:\Users\Сергей\AppData\Roaming\MicroST');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)

Подготовьте логи OTL by OldTimer (http://safezone.cc/forum/showpost.php?p=64662&postcount=1) и лог OSAM (http://safezone.cc/forum/showthread.php?t=4335)

логи OTL by OldTimer выкладывать или просто подготовить?

Вот оба лога

второй не загрузился почему то

Первое

Запустите повторно OTL by OldTimer (http://oldtimer.geekstogo.com/OTL.exe) или OTL.com (http://oldtimer.geekstogo.com/OTL.com) или OTL.scr (http://oldtimer.geekstogo.com/OTL.scr).

Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

В окно Custom Scans/Fixes скопируйте следующую информацию:

:processes

:OTL
MsConfig - StartUpReg: VIAAUD - hkey= - key= - File not found
[2012.05.14 14:54:20 | 000,000,000 | ---D | C] -- C:\A0oLTL6DUzHaEyH
[2012.05.11 15:04:50 | 000,000,000 | ---D | C] -- C:\Users\Сергей\AppData\Roaming\A0oLTL6DUzHaEyH
[2012.05.14 15:29:00 | 000,003,557 | ---- | M] () -- C:\Users\Сергей\.iBank2
[2009.07.14 08:14:39 | 000,180,648 | --S- | M] () -- C:\Users\Сергей\AppData\Roaming\igfxtray.dat
:Services

:Files
C:\Users\Сергей\AppData\Roaming\igfxtray.dat
C:\Windows\System32\ieunitdrf.inf
ipconfig /flushdns /c
:Reg

:Commands
[EMPTYJAVA]
[EMPTYFLASH]
[purity]
[Reboot]
Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
Компьютер перезагрузится.
После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Второе

Скачайте архив TDSSKiller.zip (http://support.kaspersky.ru/downloads/utils/tdsskiller.zip) и распакуйте его в отдельную папку; Запустите файл TDSSKiller.exe; Нажмите кнопку "Начать проверку"; В процессе проверки могут быть обнаружены объекты двух типов: вредоносные (точно было установлено, какой вредоносной программой поражен объект); подозрительные (тип вредоносного воздействия точно установить невозможно). По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Третье

Загрузите SecurityCheck by screen317 отсюда (http://screen317.spywareinfoforum.org/SecurityCheck.exe) или отсюда (http://screen317.changelog.fr/SecurityCheck.exe) и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Когда увидите консоль, нажмите любую клавишу для продолжения сканирования Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt; Прикрепите файл к следующему сообщению.

лог

========== PROCESSES ==========
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg\VIAAUD\ deleted successfully.
C:\A0oLTL6DUzHaEyH folder moved successfully.
C:\Users\Сергей\AppData\Roaming\A0oLTL6DUzHaEyH\z3LpVhuDhiM folder moved successfully.
C:\Users\Сергей\AppData\Roaming\A0oLTL6DUzHaEyH folder moved successfully.
C:\Users\Сергей\.iBank2 moved successfully.
C:\Users\Сергей\AppData\Roaming\igfxtray.dat moved successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
File\Folder C:\Users\Сергей\AppData\Roaming\igfxtray.dat not found.
C:\Windows\System32\ieunitdrf.inf moved successfully.
< ipconfig /flushdns /c >
Ќ*бва®©Є* Їа®в®Є®«* IP ¤«п Windows
Љни б®Ї®бв*ўЁвҐ«п DNS гбЇҐи*® ®зЁйҐ*.
K:\cmd.bat deleted successfully.
K:\cmd.txt deleted successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYJAVA]

User: All Users

User: Default

User: Default User

User: Public

User: Все пользователи

User: Сергей
->Java cache emptied: 20953582 bytes

Total Java Files Cleaned = 20,00 mb


[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 56466 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: Public

User: Все пользователи

User: Сергей
->Flash cache emptied: 48155 bytes

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.43.0 log created on 05152012_185114

вот второй

получилось только архивом

Отлично. Теперь снова по порядку.

Первое

Снова запустите OTL by OldTimer и нажмите кнопку Clean Up

Второе

Обновите Java (http://www.java.com/ru/download/faq/remove_olderversions.xml)

Третье

Смените все важные пароли (почта, клиент-банки, контакты и проч)

Четвертое

Ознакомьтесь с этими рекомендациями (http://forum.oszone.net/post-1838507-9.html)

Огромное спасибо

Карантин так и не прислали