[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

addsgn 1A0E4C9A5583C58CF42B254E3143FE5476DC77C3515A5F78D23CF0B0BA92­71B3F5E8F65FD4119DC2F309D963B9C0C20A462CE7F0D4DAB02CA6898FD4­4A4126F0 8 Spy.shiz

zoo %SystemDrive%\USERS\N1KO24\APPDATA\LOCAL\TEMP\____991.EXE
addsgn A7679B1BB9FE4C720BBE265943ED1205A64EF8A530077278854A882406BC­2826297D383F3EA00C2D438066E544FE09C97DDF6BB641B04F46781FA485­76B648DE 8 tr.carberp

zoo %SystemDrive%\USERS\N1KO24\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\S06LNAVR4SM.EXE
bl 3D4065116FF1506FF1CBF286C27B6335 321536
bl CF001A6F9DF91D3E7F68217B9E023E32 174080
delall %SystemDrive%\USERS\N1KO24\APPDATA\LOCAL\TEMP\____991.EXE
delall %SystemDrive%\USERS\N1KO24\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\S06LNAVR4SM.EXE
chklst
delvir
delall %SystemDrive%\USERS\N1KO24\APPDATA\LOCAL\TEMP\EULA.BAT
delref HTTP://STARTRU.NET/?UTM_MEDIUM=IH&UTM_SOURCE=OP&UTM_CAMPAIGN=BP&UTM_CONTENT=11-11
delref HTTP://WWW.SMAXXI.BIZ
deltmp
delnfr
delall %SystemDrive%\USERS\N1KO24\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
regt 14
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]

[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn 9A406EDA5582BC8DF42BAEB164C81205158AFCF6B1FA1F7885C3C5BC4D74­F1EC47D3AE1CA451C71E568FD481461649FA7DDFE97255DABA7842078412­B167451F 8 a variant of Win32/Injector.NAC [NOD32]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 5F4CA4A9E3A3E17818E92498733CD779 393216
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
chklst
delvir
delref HTTP://SEARCH.BABYLON.COM/?BABSRC=HP_SS&AFFID=100489&MNTRID=61E0842700000000000000016CD­A4226
delref HTTP://WWW.SMAXL.NET
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2\MEDIAGET.EXE
delref HTTP://SEARCH.BABYLON.COM/?BABSRC=HP_SS&AFFID=100489&MNTRID=61E0842700000000000000016CD­A4226
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]

+ отсканируйте [B]только[/B] загрузчики по каждому диску в ESET NOD32. сразу будет ясно, чистые или нет MBR #0,1,2. Судя по образу автозапуска 0,1 - чистые.

[B]AlexeyAlex,[/B]
если не поможет утилитка EMebRemover.exe,
проверьте это решение.
[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

fixmbr MBR#2 [12,1GB]
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.

видимо, здесь Mebroot неактивный, поскольку MBR #0, MBR#1 входят в проверенные.
и можно очистить в uVS.
[QUOTE]Полное имя MBR#2 [12,1GB]
Имя файла                   MBR#2 [12,1GB]
Тек. статус                 ?ВИРУС? загрузчик
                           
www.virustotal.com          Хэш НЕ найден на сервере.
www.virustotal.com          2012-02-13 [2012-02-13 17:27:20 UTC ( 2 minutes ago )]
Avast                       Win32:MBRoot-G [Rtk]
Kaspersky                   Backdoor.Win32.Sinowal.kmy
BitDefender                 Rootkit.MBR.Mebroot.A
DrWeb                       BackDoor.MaosBoot
AntiVir                     BOO/Sinowal.A
Microsoft                   Trojan:DOS/Sinowal.H
                           
Сохраненная информация      на момент создания образа
Статус                      загрузчик
Размер                      440 байт
                           
Доп. информация             на момент обновления списка
SHA1                        A67B076363D5A0CC3D03251420C6499D5340B243
[/QUOTE]

интересно было бы посмотреть лог выполнения скрипта. нашел он что-то еще по сигнатуре в добавленном каталоге или нет.

еще сканирование в малваребайт выполните
http://forum.esetnod32.ru/forum9/topic682/

[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemRoot%\APPPATCH\TRDMSY.EXE
addsgn A7679B19B9021B24B18E67B164A01205258AA3A14EFF4500CFC3C5BC50D6­FA59796F89576C92D8E92B80849FCD43E9A882CA942215DA3969E5302994­2D062273 8 spy.shiz

bl C8DD064B2AA68E6CF521FE7FD90E54AC 278528
delall %SystemRoot%\APPPATCH\TRDMSY.EXE
chklst
delvir
delall HTTP=;FTP=;HTTPS=;
deltmp
delnfr
regt 12
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]

[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

addsgn A7679B1BB9E64C720B3C3B9F64C87A057810961E58DE1F780607C1EF3A7A­194C3CC0C93F3EDC67A3C302A79F46958DF615DFFF988FB2B08283CFCC2F­CAD79A9B 8 a variant of Win32/Kryptik.AANV [NOD32]

zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\2ZPVHNBGRJC.EXE
bl E9D5DB52676EEBD9305F7F80072D6A20 166400
delall %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\2ZPVHNBGRJC.EXE
chklst
delvir
delref HTTP://FIND.LOCALSTRIKE.NET/
delref HTTP://SEARCH.LOCALSTRIKE.COM.AR
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]

энциклопедия вирусов от ESET NOD32 только на оф. сайте разработчиков.