это надуманная проблема
[QUOTE]выполнить скрипт ИЗ буфера обмена=выполнить скрипт находящегося в буфере обмен[/QUOTE]

выполнить скрипт в uVS
[QUOTE]скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - [B]выполнить скрипт из буфера обмена[/B] [/QUOTE]

[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

[code]

;uVS v3.73.1 script [http://dsrt.dyndns.org]

zoo %SystemRoot%\APPPATCH\QFLDJG.EXE
addsgn A7679B19B9621B2486C13C2130C87A4AEDAFFCA9332DD85685C03FEBAFC3­291C6317601CAE019DA17F707B60E5E9D8AE7D20DD7EC78EB0D31847347B­C7504A85 8 Spy.Shiz

bl 5C89F03691B490CE9E092FC429F719F6 272200
delall %SystemRoot%\APPPATCH\QFLDJG.EXE
delall %SystemDrive%\TEMP\VYH10E3.TMP
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
chklst
delvir
deltmp
delnfr
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

сделайте образ [URL=http://forum.esetnod32.ru/forum9/topic2687/]автозапуска в uVS[/URL]

или лучше так выполнить последнее действие
--------
скачайте файл из приложенного архива,
распакуйте
и выполните cork.bat

далее,
найти файлы c:\filereg1.reg, c:\filereg2.reg, c:\filereg3.reg, c:\filereg4.reg
добавить в архив filereg.rar
и добавить файл архива на форум в ваше сообщение.

выполните в окне cmd следующие действия:
[CODE]REG EXPORT HKEY_CLASSES_ROOT\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153} c:\filereg1.reg[/CODE]
и
[CODE]REG EXPORT HKEY_CURRENT_USER\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32 c:\filereg2.reg[/CODE]
и
[QUOTE]REG EXPORT HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad c:\filereg3.reg[/QUOTE]
и
[CODE]REG EXPORT HKLM\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\ c:\filereg4.reg[/CODE]

далее,
найти файлы c:\filereg1.reg, c:\filereg2.reg, c:\filereg3.reg, c:\filereg4.reg
добавить в архив filereg.rar
и добавить файл архива на форум в ваше сообщение.

нет, не надо удалять, но надо сделать другое.

вообщем,
по [B]Corkow[/B] идея такая (гипотеза, нам полезно измышлять гипотезы.)
(По возможности, если будут темы с новыми заражениями, просьба проверить соответствующие ключи и параметры реестра.)
-----------
по описанию ESET есть два варианта, которые стартуют следующим образом:

[QUOTE]The trojan may set the following Registry entries:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"ServiceDll" = "%commonprogramfiles%\microsoft
shared\%variable1%.%variable2%"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32]
"Default" = "%appdata%\Microsoft
Corporation\%variable1%.%variable2%"

This way the trojan ensures that the file is executed on every system start.

[/QUOTE]тот, что стартует из службы lanmanserver всегда есть в образе и легко пролечивается скриптом. + с исправлением параметра на
правильную сервисную dll.

во втором случае троянская dll не всегда, (чаще всего в последнее время) попадает в автозапуск.
В чем здесь дело.
Судя по всему старт трояна идет через ключ автозапуска

HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellServiceObject­DelayLoad
в котором указан параметр
SysTray
значение же параметра выставлено через CLSID={35CEC8A3-2BE6-11D2-8773-92E220524153}
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
----------------
смотрим в реестре описание CLSID в HKLM
нормальное (в чистых системах) значение такое (и оно есть в образах с темой Corkow):
[QUOTE]Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}]
@="SysTray"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32]
@="C:\\WINDOWS\\system32\\stobject.dll"
"ThreadingModel"="Both"

[/QUOTE]возможно троян грузится, если в HKCU добавлено переопределение com-объекта?
а именно (как написано в энциклопедии ESET)

[QUOTE][HKEY_CURRENT_USER\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32]

"Default" = "%appdata%\Microsoft

Corporation\%variable1%.%variable2%"
[/QUOTE]
Возможно uVS не проверяет соответствующий ключ из HKCU. (уточню у разработчика)
поскольку несколько раз, когда просили юзеров проверить данный ключ в regedit,
они называли имя файла, т.е. ключ не сокрыт в реестре,
и проверяли файлик на VT с подозрением на Corkow, т.е. файлик тоже не скрыт.

вот эта часть тоже интересна.
http://virusinfo.info/showthread.php?t=115210

скриптом сбрасывается значение параметра.
[CODE]begin
RegKeyResetSecurity('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjec­tDelayLoad');
RegKeyParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjec­tDelayLoad', 'SysTray', 'REG_SZ', '{35CEC8A3-2BE6-11D2-8773-92E220524153}');
RebootWindows(true);
end.
[/CODE]
по словам, вирус удален,
но после перезагрузке в автозапуске опять троянская dll.
[QUOTE]C:\Documents and Settings\Yaf\Application Data\Microsoft Corporation\dgrfw32.ext
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellServiceObject­DelayLoad, SysTray[/QUOTE]
[B]какие есть идеи по этому поводу? :)[/B]

в некоторых случаях (возможно ранние варианты Corkow), троянская dll присутствует в автозапуске
[QUOTE]Полное имя C:\DOCUMENTS AND SETTINGS\FAMILY\APPLICATION DATA\MICROSOFT CORPORATION\MSPUID.AVE
Имя файла                   MSPUID.AVE
Тек. статус                 ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
ПОДОЗРЕНИЕ НА CORKOW.A      ССЫЛКА: HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEO­BJECTDELAYLOAD\SYSTRAY
ПОДОЗРЕНИЕ НА CORKOW.A      ССЫЛКА: HKEY_USERS\S-1-5-21-1606980848-2146945071-1801674531-1004_CLASSES\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\INPROCSERVER32\
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      175104 байт
Создан                      21.01.2010 в 08:52:56
Изменен                     21.01.2010 в 08:52:56
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            spRio600.dll
Версия файла                1.0.2.1
Описание                    MDM Device Interface for Rio 600 device.
Производитель               S3/Diamond Multimedia
Комментарий                 Media Device Manager for Rio 600 device
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
SHA1                        F045713A878A8E376CD3F5B3FB0A2845FAB4D8D9
MD5                         8CCEC30EFA773D557BA3CAFCF6EC652B
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceO­bjectDelayLoad\SysTray
                           
Ссылка                      HKEY_USERS\S-1-5-21-1606980848-2146945071-1801674531-1004_Classes\CLSID\[B]{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\[/B]
[/QUOTE]