[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ECLEANER.EXE
addsgn 3AEC779AD4887F770BD4C5716449FE11278AFCA1D9A8482ED696EC7C5F52­874C23177AF0FB159D087AB17B1E8926FC0A825E3F721ED5B07BA0FAD4D1­38F99873 8 Gen:Variant.Kazy.54894
delall %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ECLEANER.EXE
addsgn 3AEC779AD48878700BD4C5716449FE11278AFCA4D8AD482ED64029B8D9FA­5565E31847A13E559DF78CC5C59F00407828FC15D8C7A52531FE2D3CAB2F­958BAF03 8 Trojan.Packed.22300 [DrWeb]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER 3\APPLICATION DATA\DEGIGL.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER 3\APPLICATION DATA\DEGIGL.EXE
addsgn A7659223666B4C728A38BAB364C8AA17258AFCA4D8A9482ED64029B8D9FA­5565EB1846A13E559DF034BBC49F0747783A70EF5D82AACFB0672277F4A2­4A76DC8C 8 a variant of Win32/Kryptik.ABBM [NOD32]
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER 3\APPLICATION DATA
chklst
delvir
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]

лог малваребайт все же сделайте.

[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn A75537D85A6AA76142555794E82F0B702F8FF8F38DFB1F79D228CAB799A3­9814704128A33A5099482B816CCD3916498E08AB990224EB40555D1C5132­B37652BB 8 new_driver

zoo %SystemRoot%\FREDO.SYS
delall %Sys32%\165664BC.EXE
delall %Sys32%\GKK9AQN.EXE
delall %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\SETUPAPI.DLL
deltmp
delnfr
sreg
delref %SystemRoot%\FREDO.SYS
areg
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]

да, все чисто
выполните наши рекомендации по безопасной работе
http://forum.esetnod32.ru/forum9/topic3998/

огромные логи нам не надо,
экспортируйте только последние записи.
или запакуйте хотя бы файл угроз в архив

[QUOTE]RP55 RP55 пишет:
V.T.Часто в таком состоянии, что до него и не достучаться вовсе...
Значит при его недоступности и смысл пропадает...

Так проще; " Удалить файл & ссылки & удалить файл из Zoo "
[/QUOTE]
а как ты хочешь удалять файл из карантина, если не знаешь реакции антивируса детектирует его скажем ESET или нет?

[QUOTE]RP55 RP55 пишет:
Добавить в  контекстное меню файла соответствующею команду.
" Удалить файл & ссылки & удалить файл из Zoo "
[/QUOTE]
возможно проще будет ([B]все таки[/B]) создать модифицированную реакцию на ADDSgn.
без ZOO в случае, если есть детект по VT. поскольку в любом случае придется проверить: есть детект или нет.

[B]RP55,[/B] а разве он ставит какой-то другой пакет? здесь зависание на стадии получения обновлений из IE насколько я понял

может быть в безопаске (с поддержкой сети) проверить возможность установки IE8?

хорошо,
закрываем тему.