[B]Валентин,[/B]
файлик лучше проверить. прежде чем убить.
[QUOTE]Полное имя C:\USERS\ПАВЕЛ\APPDATA\LOCAL\TEMP\YYY425C.EXE
Имя файла                   YYY425C.EXE
Тек. статус                 АКТИВНЫЙ ПРОВЕРЕННЫЙ
                           
www.virustotal.com          2012-02-28 [2009-12-21 11:05:57 UTC ( 2 years, 2 months ago )]
-                           Файл был чист на момент проверки.
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ
Процесс                     32-х битный
Размер                      3072 байт
Создан                      01.03.2012 в 15:07:35
Изменен                     01.03.2012 в 15:07:35
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            systray.exe
Версия файла                5.2.3790.1830 (srv03_sp1_rtm.050324-1447)
Описание                    Systray .exe stub
Производитель               Microsoft Corporation
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
pid = 5144                  Павел-ПК\Павел
CmdLine                     "C:\Users\7636~1\AppData\Local\Temp\YYY425C.exe"
Процесс создан              15:07:35 [2012.03.01]
С момента создания          00:05:17
parentid = 2672            
SHA1                        D929D3389642E52BAE5AD8512293C9C4D3E4FAB5
MD5                         29090B6B4D6605A97AC760D06436AC2D
                           
[/QUOTE]
непонятно, легитимный или нет.

[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %SystemDrive%\USERS\ПАВЕЛ\APPDATA\LOCAL\TEMP\0.3591225392450542G8J8.EXE
addsgn 9252771A156AC1CC0B44514E334BDFFACE9A6C66196A8FE80FC583345791­709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E­0707F900 8 kav_vir
delall %SystemDrive%\USERS\ПАВЕЛ\APPDATA\LOCAL\TEMP\0.3591225392450542G8J8.EXE
addsgn 988C1FAA342A4C9A61C4AEB1DB5C120525013B1E3FEA1F780CA62D37A45F­4F1ADC02F3377E5516073B09897BD65649713BDB4B82C59AB0A77B7F2D3A­33966273 8 SpyEye
zoo %SystemDrive%\SYSTEMHOST\24FC2AE3FB2.EXE
bl 2B2658091269EB98829126031CED18C5 329728
delall %SystemDrive%\SYSTEMHOST\24FC2AE3FB2.EXE
chklst
delvir
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]

удалите все найденное в МБАМ,
далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

Малваребайт установили только сканер или с монитором?

[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KESHICH\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VOPZMQB4GWI.EXE
addsgn 9252773A116AC1CC0BA4554E3341F788B9AE7C3776052EB8D5FA19C9AB90­371F4B6420513E021E8A2FD3EC8E281449ACFE1CEC21051DB32F2D75A4BF­5796B2E3 8 tr.Carberp
bl F662067F2489A07E27F4C87C7D1A9901 169984
delall %SystemDrive%\DOCUMENTS AND SETTINGS\KESHICH\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VOPZMQB4GWI.EXE
delall L:\AUTORUN.INF
delall %SystemDrive%\DOCUMENTS AND SETTINGS\KESHICH\LOCAL SETTINGS\TEMP\VXRMY.BAT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\KESHICH\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
delref HTTP://WWW.SMAXI.NET
chklst
delvir
deltmp
delnfr
regt 14
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]

оба эти примера по ссылкам на Win 7,

Отправил в почту образец и ссылки.

[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\RJYZGERT1NU.EXE
addsgn 3AE8779AD6AE48CB38D5AEB1E5240607258A44E489FA1F2AD29392EA0355­9D48AA3BE77EF65A18BE2B808420F5DA08FA3A88D9BBD4138099DD8825FE­C74D2D73 8 tr.Carberp.AD

bl 5C506CF67490F714561447FE7292F40F 176640
delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\RJYZGERT1NU.EXE
chklst
delvir
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]

[QUOTE]Однако появившаяся вместе с вирусами в корневом каталоге самовосстанавливающаяся папка DsgEBacjBc6fNSA и содержащийся в ней файл klpclst.dat остались. Её нужно снова попробовать удалять вручную? [/QUOTE]
да, эту папку можно удалить руками, она уже не восстановится в этот раз.
[QUOTE]Ещё есть один вопрос: вчера, пытаясь как-то справиться с вирусом, удалил из автозагрузки файл igfxtray.exe, а сегодня, просматривая диспетчер задач, заметил несколько процессов с похожими названиями: igfxsrvc.exe, igfxpers.exe.
[/QUOTE]
это как раз нормальные файлы, под которые ранее маскировался Carberp.
------
далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 988C1FBA272A4C9A45D0AEB1DB5C120525013B1E0F05E0870CA62D37A45F­4F1ADC0247277E5516073B09899BFE5649713BDB4B62ED9AB0A77B7F2D3A­D3BE6273 8 tr.Carberp

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\Y\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\8JEJE695UHO.EXE
bl 92C7797883EF65ADBDE768708EFC5D39 325145
delall %SystemDrive%\DOCUMENTS AND SETTINGS\Y\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\8JEJE695UHO.EXE
chklst
delvir
delall %SystemRoot%\TEMP\GQEXD.BAT
deltmp
delnfr
regt 14
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]