Я разве о той системе, что под рукой говорил ?
---------------
Будет - тема - будет скрипт...

[QUOTE]zloyDi пишет:
Вирлаб просит найти переименованные файлы.
[/QUOTE]
Применить: adddir для \system32\+
И дальше поиск + Zоо.

[QUOTE]santy пишет:
детект файликов... [/QUOTE]
Мало найти - нужно пролечить.
Что по лечению ?

Маша
В Malwarebytes Оставить:
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter)
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter)
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter)
Прочее удалить.

Выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic3998/
&
Проверку на программные уязвимости браузеров.
http://www.surfpatrol.ru/

Создайте лог в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
[CODE]

;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl F082C76CF8A1C41DB23EC397B4B5B03B 1618304
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\1BCA7F22ED8.SYS
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\35946D3FE30.SYS
delall %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\9GYZ2UDL.EXE
deltmp
delnfr
regt 14
sreg
delref %SystemRoot%\GIGALAN.TXT
areg

[/CODE]

-------------
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.

Про нового зверя вероятно стоит дать информацию на Anti-Malware.ru ( в том числе и в теме по uVS = критерий поиска/алгоритм)
И здесь, для тех кто читает осветить тему ?
Народ - то мучается.

Требование: $ < > & < > SMS
Блокировка соц.сетей & почты = пере-адресация.
Задействована: RPCSS.DLL
Distributed COM Services - Microsoft Corporation
Автозапуск > SAFE_MODE_SVCHOST
Метод: Модификация.
Создан - Изменён - Данные = маскировка = нет соответствия текущей дате.
Проверка на сервисе: VirusTotal - Файл НЕ определяется как угроза.
Цифр.Подпись: Отсутствует.
Типичная форма запроса со стороны пользователя: " Не пускает в соц сети и почту. Требует СМС "
Решение: Замещение файла с Live СD
Для : Win XP > Если версия dll меньше 5755, поможет установка хотфикса: WindowsXP-KB956572-x86-RUS.exe
http://www.microsoft.com/ru-ru/download/details.aspx?id=15124
Соответственно файл будет замещён новой версией. + ( restart )
Вероятное распространение угрозы: phishing - сайт > уязвимость и т.д...

Описание службы:
http://www.oszone.net/2590
http://www.pssystem.ru/3/Index9.htm

Вирус Найден/идентифицирован с привлечением специалистов: pchelpforum.ru & esetnod32.ru - forum
Особая благодарность: Vvvyg; Santy; zloyDi
На данный момент проблема изучается специалистами компании ESET
На данный момент нет антивирусов/компаний которые способны автоматически выявить заражение.
Проблема решается на форумах: pchelpforum.ru & esetnod32.ru

В Malwarebytes - Чисто.

Выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic3998/
&
Проверку на программные уязвимости браузеров.
http://www.surfpatrol.ru/

3.4:
Обновлена база хэшей.
Добавлено определение NTFS-потоков.
Улучшена обработка назначенных заданий*
Улучшено определение параметров запуска против некоторых видов троянов.
Пополнена база известных загрузочных секторов.

Silbe
"TNOD USER & PASSWORD FINDER"
В связи с нарушением Лицензионного соглашения с компанией ESET помощь вам оказана не будет.