нет возможности на 64разрядных машинах поэкспериментировать,
остальное только вечером.

[QUOTE]Арвид пишет:
это я понял. но она убивает родные переменные
[/QUOTE]
здесь лучше за разъяснением о возможностях EXEC обратиться к автору. (Можно ли использовать в контексте EXEC переменные среды Windows).

[QUOTE]Арвид пишет:
Захотелось убивать с помощью uVS хвосты Carberp'a. Думал все будет проще, но пришлось немного попариться с командой для удаления файла из Application Data - когда запускается сторонняя команда через exec, то работают переменные самой программы, а не ОС. И работают не совсем успешно если честно. [/QUOTE]
читаем документацию.
[QUOTE]3.65
---------------------------------------------------------
o Скриптовая команда [B]exec[/B] теперь допускает использование сокращений пути до файла:
  %SYS32%       = подкаталог SYSTEM32 проверяемой системы
  %SYSTEMROOT%  = каталог проверяемой системы
  %SYSTEMDRIVE% = имя диска где расположена система[/QUOTE]

[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn A7679B19B9468B77CA65CAB142CB1205E28F9142EDFA315E85C392EAAFC3­E57C651760E48B319D232B7F91D376504973383BE1B25A5EC03F2D77CC01­7662228C 8 spy.shiz

zoo %SystemRoot%\APPPATCH\PRNIMW.EXE
bl 8B076465B26C9157971694486DA51C15 276992
delall %SystemRoot%\APPPATCH\PRNIMW.EXE
chklst
delvir
deltmp
delnfr
regt 12
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

сейчас чисто,
выполните быстрое сканирование в малвареьайт

[QUOTE]Legolas пишет:
SS 5 пока молчит...[/QUOTE]
[QUOTE]пока скрипт из сообщения 8 выполните, и [B]новый образ автозапуска надо сделать[/B][/QUOTE]

лог чистый,
выполните быстрое сканирование в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

пока скрипт из сообщения 8 выполните, и новый образ автозапуска надо сделать

[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn 9252773A166AC1CC0BA4524E3341F788B9AE7C3776052EB8D5FA19C9AB90­371F4BE645503E021E8A2FD3EC66B91549ACFE1CEC21051DB32F2D75A4BF­5753B224 8 a variant of Win32/Kryptik.AADO [NOD32]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\СОТРУДНИК\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\M0MROEE7S5I.EXE
bl 19D45EF44413C3EBCAA12BD77C974A37 268800
delall %SystemDrive%\DOCUMENTS AND SETTINGS\СОТРУДНИК\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\M0MROEE7S5I.EXE
chklst
delvir
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]