Аналогичные скрипты я выполнял как на XP так и Win 7.

Система работает после выполнения нормально.

а смысл в таком скрипте? файл руткита остается в системе, хотя может и неактивен, в вирлаб соответственно данный сэмпл не попадает, и пользователи (ДРУГИЕ да и этот же) снова будут продолжать заражаться этим руткитом.

Это так сказать - каркас.

Можно ведь и так сделать:

;uVS v3.45 script [http://dsrt.jino-net.ru | http://dsrt.dyndns.org]

zoo %SystemRoot%\SGOPE.SYS
zoo %SystemDrive%\DOCUME~1\8AD5~1\LOCALS~1\TEMP\9UFP7IN2.SYS
breg
sreg
delref %SystemRoot%\SGOPE.SYS
delref %SystemDrive%\DOCUME~1\8AD5~1\LOCALS~1\TEMP\9UFP7IN2.SYS
delnfr
areg

Немного офпота
Файл будет добавлен как

SGOPE.SYS - Win32/Rootkit.Qhost.I trojan

отлично, продолжаем офтоп,
потому что к темам открываемым Виктором,
я отношусь не как к необходимости оказать оперативную помощь, а как к учебным вариантам .

Мне вот сигнатура от ev er помогла задетектить этот драйвер.

Вот давно хочу предложить сделать страницу взаимопомощи.

Многие пользователи имея на машине пиратскую версию NOD32 - Отказываются от обращения за помощью на форум ESET.
( По вполне понятным причинам )
Также это относиться к пиратам использующим другие антивирусные решения.
В тоже время компания ESET и её легальные пользователи должны оперативно получать сведения о новых угрозах.
Например о том же - SGOPE.SYS  
По ряду оценок количество пиратов ничуть не меньше числа легальных пользователей.
Соответственно - и число заражений машин примерно одинаково ( у пиратов оно процентов на 15-20% выше за счёт использования
модифицированных продуктов и их устаревших версий )
Очевидно - Официально компания не может оказывать помощь в подобных случаях - однако данное ограничение не касается
пользователей/посетителей форума.
Соответственно - речь в данном случае идёт о взаимопомощи.
Выгода компании: Получение архивов с тем лечения и добавление новых сигнатур в базу антивируса.
*О массовых случаях речь понятно не идёт - но 2 обращения в день вполне реально отработать.
** Другой вопрос насколько подобная помощь будет эффективна.

Повторные логи так и не кинул

По поводу скриптов, исключаем те, что я ему присылал, и получается:
то что это руткит - несомненно. Посмотрите информацию об этом объекте.
HKLM\System\CurrentControlSet\Services\mkdrv\Image­Path
regt 20 - Восстановить испорченные значения ImagePath - с этого надо было мне начать

addsgn 4AEE779A556522B204BA66309C95190BC58579897405E07880C7C0B851D6­704C2613C6533F559C492E84819B471648FA78DBED7654DAB12C2873A12B­C6062370 8 mkdrv_vir_ever
chklst - проверка всего списка
delvir - удаление всех опознанных вирусов
regt 1 - Разблокировать диспетчер задач
regt 2 - Разблокировать редактор реестра
regt 5 - Отключить автозапуск для всех пользователей
regt 6 - Отключить восстановление системы
regt 13 - Удалить все Persistent routes
regt 18 - Снять ограничения на запуск приложений в Exlporer-е

breg - Бэкап реестра
sreg - безопасная виртуализация SYSTEM и SOFTWARE (Например плюс в том что в виртуальных ветках изначально отсутствуют
  ключи автозапуска скрытые руткитом, т.е. после актуализации реестра руткит получит проблемы
  с загрузкой уже только из-за своего стремления скрывать свой автозапуск.)
С виртуализацией я не очень поянл..

Предлагаю создать несколько самых простых стандартных скриптов

простых стандартных скриптов полным полно в темах заражения - другое дело, что в каждом случае скрипт может быть уникален - разные сигнатуры, разные имена вредоносных программ, стандартная часть здесь только -

блок удаления и ZOO
...
chklst
delvir
...
зачистка
delnfr
deltmp
...
твики
...
czoo
restart

если вы заметили, мы в теме заражения оказываем помощь всем, даже пользователям других антивирусов, поскольку считаем, что оперативный сбор свежих сэмплов для вирлаба - это вещь полезная и в интересах всех пользователей Есета.

Отправил: [email protected]