выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
EXEC cmd /c"ipconfig /flushdns"
CEXEC cmd /c"ping  esk.sbrf.ru"
CEXEC cmd /c"tracert esk.sbrf.ru"
crimg
[/code]
без перезагрузки, добавьте новый образ, который будет создан автоматически
------------

выполните сканирование в малваребайт

напишите адрес сбера, куда вы не можете сейчас попасть

[QUOTE]Yung пишет:
Теперь о планете Земля. :)

Уважаемые знатоки, подскажите пож., удалятся ли файлы карантина антивируса 4 версии при удалении антивируса через ESET Uninstaller ?
Спасибо.[/QUOTE]
[B]Yung[/B], это легко проверить опытным путем.

похоже, данные отслеживает какие то в истории браузера.
[QUOTE]0xd8 C:\TEST\sample.exe 0x771d9710 c:!documents and settings!user!cookies!
0xd8 C:\TEST\sample.exe 0x771d9710 c:!documents and settings!user!local settings!history!history.ie5!
0xd8 C:\TEST\sample.exe 0x771d9710 c:!documents and settings!user!local settings!temporary internet files!content.ie5![/QUOTE]

[QUOTE]zloyDi пишет:
Возможно вот это дропает
UPDATE_PACKET.EXE - Win32/Dulkit.C trojan[/QUOTE]
[B]ZloyDi[/B], сделай проверку здесь, если сэмпл не убил еще
http://camas.comodo.com/
посмотрим анализ. можно и для левого эксплорера тоже трейс сделать.

[QUOTE]zloyDi пишет:
Santy зацени лог UVS с диска и с системы
[URL=http://forum.esetnod32.ru/forum27/topic7491/]http://forum.esetnod32.ru/forum27/topic7491/[/URL]
ЕXPLORER.EXE  с диска галимый, с системы уже нормальный.[/QUOTE]
смотрел тему. похоже в трояне буква "P" не латинского происхождения. подменен символ. т.е. в образе два файла explorer:
этот троянский, и системный чистый.

сделайте новый образ автозапуска

добавил правило:
(ССЫЛКА ~ RUN\ЕXPLORER)(1) AND (ЕXPLORER ~ ЕXPLORER.EXE)(1)
-------------
[QUOTE]Полное имя D:\WINDOWS\ЕXPLORER.EXE
Имя файла ЕXPLORER.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

www.virustotal.com 2012-11-01 [2012-11-01 17:50:56 UTC ( 1 day, 18 hours ago )]
BitDefender Gen:Variant.Symmi.3544
AntiVir TR/Rogue.KD.399878

Удовлетворяет критериям
TR/ROGUE.KD.399878 (ССЫЛКА ~ RUN\ЕXPLORER)(1) AND (ЕXPLORER ~ ЕXPLORER.EXE)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 100890 байт
Создан 28.10.2012 в 09:56:55
Изменен 28.10.2012 в 09:56:55
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя HASA.exe
Версия файла 2323.4444.1111
Продукт :)
Производитель PEAR

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Имя файла Типичное для вирусов или содержит Non-ASCII символы

Доп. информация на момент обновления списка
SHA1 765DB936A91D69B69E2BF64B0848CFE02BBF6896
MD5 844EC64D9B37FC477D3BA095EC1E33E6

Ссылки на объект
Ссылка HKLM\uvs_software\Microsoft\Windows\CurrentVersion\Run\еxplo­rer
еxplorer C:\Windows\еxplorer.exe
[/QUOTE]
второй случай
http://forum.esetnod32.ru/forum27/topic7491/

https://www.virustotal.com/file/fb71f65341288ed9d2383d44478640712b895d8e1f760e19f6f­2741179857742/analysis/