Как удалить trojan.carberp.30 (klpclst.dat)

Мой маленький недельный отпуск закончился и работа вновь накрыла с головой. Даже столь небольшой промежуток времени был богат на события... ну да это совсем другая тема, которой посвящу один из ближайших постов.

Давненько ничего не писал о троянцах, так что встречайте нового героя - trojan.carberp.30. О Carberp я слышал только то, что он внедряется в популярные системы дистанционного банковского обслуживания, но вот попался данный экземпляр на вполне заурядном офисном компьютере.

Честно говоря, симптомы были странные, OpenOffice запускался через раз, вернее начинал стартовать только после чистки /temp/ каталога пользователя. При загрузке компьютера, DrWeb постоянно находил вирус и бережно складывал его в карантин.

Однако, полная проверка компьютера, к моему удивлению, ничего не выявила, хотя вирус продолжал упорно находиться после каждой перезагрузки.

Дело ясное, но явно не чистое... Вооружаемся загрузочной флешкой (можно liveCD) и решаем проблему самостоятельно, руками. В моем случае имеется зараженная Windows 7 32bit (специально заражать другие машины времени и желания не было), потому пример будет именно этой системы.

Троянец прятался в каталоге пользователя:

Отдельное спасибо Microsoft, что так далеко запрятали автозапуск программ.

0mOwp2vxx1s.exe - это и есть сам троянец (буквы и цифры могут быть совершенно разными, здесь привел для примера)

Удивительно, но любимые вирусами ключи реестра были не тронуты. Заодно почистил TMP каталоги и место, куда вирус создавал свою копию (и откуда его гонял DrWeb) - C:\ProgramData\[белиберда_из_цифр_и_букв].

Не помешает проверить и файл hosts (подробнее читайте тут). Т.к. вместо любимых соцсетей происходило перенаправление на сайт злоумышленников, хотя может это просто совпадение. Бдительнось в любом случае не помешает.