[QUOTE]RP55 RP55 пишет:
MBX@758@3F3238[/QUOTE][QUOTE]RP55 RP55 пишет:
А что по этому файлу ?
MBX@758@3F3238.###
[URL=http://forum.esetnod32.ru/forum6/topic3867/]http://forum.esetnod32.ru/forum6/topic3867/[/URL] [/QUOTE]
А что ты имеешь ввиду по этому файлу?
Я не в курсе, [B]RP55[/B], что это за файл.

[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

[code]

;uVS v3.73.2 script [http://dsrt.dyndns.org]

deltmp
delnfr
delref HTTP://WWW.SMAXXI.BIZ

adddir %SystemDrive%\USERS\UZER\APPDATA\ROAMING
crimg

[/code]

без перезагрузки
новый образ автозапуска будет создан автоматически скриптом.
его добавить на форум.
------
+
добавить лог [URL=http://forum.esetnod32.ru/forum9/topic1408/]журнала обнаружения угроз[/URL]

[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

[code]

;uVS v3.73.2 script [http://dsrt.dyndns.org]

addsgn 79F927BA176AC76022C1EAA126C8A895018AFC779CFA0F3A85C3D5FE5057­644C3355C3572E179DC8268094DD46662DFA7D5E32904ADAB079A69B25C3­AF022273 8 Spy.Banker

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\KB00016433.EXE
bl 02BD12B8605075E86EAFF014E800CCA8 143360
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\KB00016433.EXE
chklst
delvir
deltmp
delnfr
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
---------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]проверку системы в малваребайт[/URL]

читаем документацию по ESET Smart Security
http://www.esetnod32.ru/.download/doc/

знание о возможностях лечения ZAccess с помощью uVS так же важно, как возможности утилиты Sirefef.

[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

[code]

;uVS v3.73.2 script [http://dsrt.dyndns.org]

addsgn A7679B19B936F5F80BD4AE38293841EDC592FCF6DF128D6E85C392D627BC­B1260CFF45413E551E8D27EA73F55E7CFA12A3CBE872D61EBCC4536EA42F­44FE9B06 8 a variant of Win32/Kryptik.ZJA [NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\TIOLBVFXAEU.EXE
bl 8189B53F6CB4C941F489855C3E569F7C 173056
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\TIOLBVFXAEU.EXE
chklst
delvir
deltmp
delnfr
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

[B]ZloyDi[/B], использовать утилиту Sirefef - это самый простой вариант, мы же здесь используем возможность uVS вылечить ZAccess.
[QUOTE]uVS v3.73: Windows 7 Ultimate x86 (NT v6.1) build 7601 Service Pack 1 [D:\WINDOWS][/QUOTE]

удалить все найденное в МБАМ, кроме
[QUOTE]Объекты реестра обнаружены: 1
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
[/QUOTE]
далее,
выполнить наши [URL=http://forum.esetnod32.ru/forum9/topic751/]рекомендации по безопасной работе в сети[/URL]

что делать.
------------
из под Live.CD в uVS выполнить скрипт из файла (script.txt).
без перезагрузки,
заменяем зараженный файл
[QUOTE]D:\WINDOWS\SYSTEM32\DRIVERS\AFD.SYS[/QUOTE]
на чистый
перегружаем систему.
пишем результат.

1.
(!) Обнаружен измененный файл "AFD.SYS" [ D:\WINDOWS\SYSTEM32\DRIVERS\AFD.SYS ]
этот драйвер надо заменить на чистый. из под Live.CD
2. троянская dll в сервисах
[QUOTE]Полное имя D:\WINDOWS\SYSTEM32\MAFWBOOT.DLL
Имя файла                   MAFWBOOT.DLL
Тек. статус                 ?ВИРУС? сервисная_DLL в автозапуске [SVCHOST]
                           
www.virustotal.com          2012-01-29 [2012-01-11 17:27:01 UTC ( 2 weeks, 4 days ago )]
BitDefender                 Trojan.Sirefef.BP
                           
Сохраненная информация      на момент создания образа
Статус                      сервисная_DLL в автозапуске [SVCHOST]
Размер                      5120 байт
Создан                      14.07.2009 в 02:19:28
Изменен                     14.07.2009 в 04:14:41
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            adserxvice.exe
Версия файла                2, 1, 0, 0
Версия продукта             2, 1, 0, 0
Описание                    Iomega® Active Disk™
Продукт                     Disk Service
Copyright                   Copyright © 2009
Производитель               Iomega
                           
Доп. информация             на момент обновления списка
SHA1                        A4023B8E38F1E18D0DFFB43567C5E0AEF6C8086B
MD5                         B89CFBE8CB247B57D8C10ADAA66B462B
                           
Ссылки на объект            
Ссылка                      HKLM\uvs_system\ControlSet001\Services\tbhsd\Parameters\Serv­iceDLL
ServiceDLL                  %systemroot%\system32\mafwboot.dll
[/QUOTE]