[B]spyonka,[/B]
если комп с банковской системой, то троянец попал в цель,
(совершенно свежий и ни кем возможно не детектится, еще)
вам же, следует так же
(кроме java)
обновить антивир до актуальной версии 4.0.474 или 4.2.76,

[QUOTE]RP55 RP55 пишет:
И кстати говоря, что там за безобразие с VirusTotal разработчики в честь Старого< = >Нового года сотворили ?[/QUOTE]
обновился интерфейс Virustotal,
в связи с этим вышло обновление uVS 3.73.1

[QUOTE]RP55 RP55 пишет:

RP55 RP55 пишет:
А - вот с ключами реестра хуже - они не проверяются! На Anti-Malware я предлагал, после завершения команды adddir - чтобы проводилась проверка/сравнение/поиск по имени файла в данных реестра.

RP55 RP55 пишет: А - вот с ключами реестра хуже - они не проверяются! На Anti-Malware я предлагал, после завершения команды adddir - чтобы проводилась проверка/сравнение/поиск по имени файла в данных реестра. [/QUOTE]

это может занимать значительное время.

[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

[code]

;uVS v3.73.1 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\МОИ ДОКУМЕНТЫ\ЗАГРУЗКИ\ФОТЫ.EXE
addsgn 1A0F8965AA598C225B84FE59DAE31205E6DCAB7DF5DE13F374480A356E3E­A1EBDCE84A1136DCCB45A00798934616C0BC6D8063B40B18B42CA6B62F27­4C563248 31 Win32/HiddenStart.A [NOD32]

zoo D:\AION2.5\BIN32\AION.BIN
addsgn 710073CA06824D720BD462E9ED0B5228250AF4F6A4ED071885C6C9A430D6­F177EF62DA913D5526493B8084F77FA167AF15700ED47589E0C42777A42F­44C622FA 13 Trojan.Siggen3.29517 [DrWeb]

delall %SystemRoot%\TEMP\EULAEND.BAT
delall %SystemDrive%\AUTORUN.INF
delall %SystemRoot%\TEMP\UNINSTALL.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\МОИ ДОКУМЕНТЫ\ЗАГРУЗКИ\ФОТЫ.EXE
delall D:\AION2.5\BIN32\AION.BIN
deltmp
delnfr
regt 5
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.

[URL=http://forum.esetnod32.ru/forum9/topic682/]лог малваребайт[/URL] все же сделайте для контроля.

[QUOTE]Арвид пишет:
просто когда нечего делать - захожу в папку Downloads и скидываю все логи в папку Logs безо всякого порядка  [/QUOTE]
образы - это полезная инфо, и лучше хранить в структурированном виде.
Иначе получается  - вылечил, и забыл. Остались только сигнатуры в базе uVS. Нет возможности анализа.

[QUOTE]Арвид пишет:
Сам Corkow что из себя представляет? Библиотеку или исполняемый файл? Можно брать экземпляры и смотреть их поведение на ВМ[/QUOTE]
вот описание Corkow.
http://www.eset.eu/encyclopaedia/win32-corkow-a-trojan-yakes-goc?lng=en
странно, что ключ ShellServiceObjectDelayLoad здесь не упоминается.
с библ. толку мало. в ней реализован функционал, а нас интересуют параметры реестра, откуда он стартует.

[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

[code]

;uVS v3.73.1 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\D3DSIT.WSO
addsgn 79A853921D1F5241CB57569C1BC05286DDEE800362F575787AB7E1ACAFA2­5540CB0B3CA8C13F9C11E98C84F5457C49907D37E38DAA2535EC59675B5B­E30ADD07 8 Corkow.A [NOD32]

delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\D3DSIT.WSO
chklst
delvir
deltmp
delnfr
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

[QUOTE]RP55 RP55 пишет:
Если бы у Вас было время - то, сколько его нужно для анализа и получения результата ?[/QUOTE]
как минимум, нужен дроппер Corkow, или темы с подобными заражениями для анализа (возможно, что и спомощью Live.CD, если третий вариант использует сокрытие.)

[QUOTE]RP55 RP55 пишет:
А у Вир.лаба запросить данные нет никакой возможности ?
[/QUOTE]
ну, пока что участие российского вирлаба, самое минимальное в нашей теме, за исключением того, что [B]ВАлентин[/B] пролечивает некоторые темы. Надеюсь, на помощь Валентина.