выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[CODE];uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn A7679BF0AA028C224BD4C6C57A881261848AFCF689AA7BF1A0C3C5BC5055­9D5C704194DE5BBD625C03D0C49F75C4C32EF4CAB00315DA3BE4AC965B2F­C706AB7E 8 SpyEye.0816
zoo %SystemDrive%\SYSTEMHOST\24FC2AE37D8.EXE
delall %SystemDrive%\SYSTEMHOST\24FC2AE37D8.EXE
chklst
delvir
deltmp
delnfr
deltmp
delnfr
restart
czoo
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

файл загрузился в память, но на диске был обнаружен стартап-сканером и был удален, вы сканируете память (в 9-33) и обнаруживаете его в памяти,
-------
поэтому мы и попросили вас [B]перегрузить систему[/B], и еще выполнить скан памяти. если файл был очищен с диска, (что видно было по журналу угроз), то стартовать в память ему уже неоткуда.
------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\YANDEX\UPDAT­ER\PRAETORIAN.EXE
delref HTTP://SPEEDBAR.RU
regt 14
deltmp
delnfr
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec "C:\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

Serenity, логи нам нужны в том порядке, ы котором мы их запрашиваем.[QUOTE]Serenity пишет:
Я изначально в первом посте и прикрепил лог оперативки - там вирус есть ( в 9-33 по времени)[/QUOTE]
да, для ясности и контроля.
то было в 9 -33, а сейчас ([B]уже другое время[/B]) необходимо еще раз выполнить сканирование в ESET NOD32 [B]только оперативной памяти[/B].

скорее всего файл уже очищен антивирусом, и оставался только в памяти.
[QUOTE]16.08.2012 8:26:57 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = taskhost.exe(2696) модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна NWIPBANK\mvv
16.08.2012 8:26:56 Модуль сканирования файлов, исполняемых при запуске системы файл C:\systemhost\24FC2AE373C.exe модифицированный Win32/Injector.VEM троянская программа очищен удалением - изолирован NWIPBANK\mvv
[/QUOTE]
перегрузите компьютер,
и выполните сканирование в ESET NOD32 [B]только оперативной памяти.[/B]
лог сканирования добавить на форум

ок,
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

в безопасном режиме сделайте образ автозапуска

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn 1BA9619A5583F0760BD4476E67C812EC888CFCF6600A0978852ACBB150D6­98E62717C3BE98509D49C2BA929F46FF0BE87DDF01385DDAB0C5D77BA42F­2E5B2873 8 Carberp.pki [Kaspersky]
zoo %SystemDrive%\USERS\NOBODY\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\1TG24RZIUBW.EXE
bl BBE8B7CC5387268815891A7A7C2A5FB8 356352
delall %SystemDrive%\USERS\NOBODY\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\1TG24RZIUBW.EXE
chklst
delvir
delref HTTP://BROWSERHELP.RU
delall %SystemDrive%\PROGRAM FILES\TICNO\TABS\TICNO TABS.EXE
delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL
deltmp
delnfr
delref HTTP://START.TICNO.COM
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[QUOTE]Yulechka пишет:
Еще надо что-то делать? Вирус удален?[/QUOTE]
+ не забываем очистить hosts
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

deltmp
delnfr
regt 14
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

[QUOTE]RP55 RP55 пишет:
Встреча позиций.[/QUOTE]
откуда дровишки? не из Лондона случайно? :)