по Corkow имеет смыcл сделать логи AVZ, чтобы посмотреть, какой разбор в нем CLSID
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
вот такая может запись в автозапуске,
[CODE]C:\Documents and Settings\User\Application Data\Microsoft Corporation\glmsvc.kmo
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellServiceObject­DelayLoad, SysTray
[/CODE]причем, удаление параметра реестра приводит к исчезновению легальных объектов в системном трее. Т.е. в этом ключе должно прописываться правильное значение dll. вместо удаляемой троянской dll.
http://virusinfo.info/showthread.php?t=114877
(кстати, очень интересный случай, dll отказывается удалиться из активной системы, и присутствует в том числе и Lanmanserver)
еще одна полезная ссылка по проблеме.
http://www.developing.ru/com/what_com_stores.html
----
возможно идет подмена этого объекта.
[QUOTE]Полное имя C:\WINDOWS\SYSTEM32\STOBJECT.DLL
Имя файла                   STOBJECT.DLL
Тек. статус                 АКТИВНЫЙ ИЗВЕСТНЫЙ DLL в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ИЗВЕСТНЫЙ DLL в автозапуске
Размер                      139776 байт
Создан                      12.03.2010 в 16:53:20
Изменен                     12.03.2010 в 16:53:20
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            stobject.dll
Версия файла                5.1.2600.5512 (xpsp.080413-2105)
Версия продукта             5.1.2600.5512
Описание                    Объект службы оболочки Systray
Продукт                     Операционная система Microsoft® Windows®
Copyright                   © Корпорация Майкрософт. Все права защищены.
Производитель               Корпорация Майкрософт
                           
Доп. информация             на момент обновления списка
SHA1                        B9A16DB183F569E00198026656D66558B44F325F
MD5                         D5D807BE9F6099F42F46456243728F39
                           
Процессы                    на момент обновления списка
Процесс                     C:\WINDOWS\EXPLORER.EXE
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceO­bjectDelayLoad\SysTray
                           
Ссылка                      HKLM\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\
[/QUOTE]

1. необходимо больше знать инфо в реестре по этому CLSID
[QUOTE]"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"[/QUOTE]

2. adddir файлы то добавит, а вот будут ли при этом ссылки на файл из реестра - это вопрос.

3. [QUOTE]были уже случаи - добавляли и смотрели![/QUOTE]
adddir добавляет исполняемые файлы по расширению? в таком случае, врядли библиотека Corkow попадет в автозапуск.

сообщение системное, или антивирус установленный реагирует?
если антивир, то добавьте для ясности [URL=http://forum.esetnod32.ru/forum9/topic1408/]логи журнала обнаружения угроз[/URL], или сканирования.

да, надо пролечивать с помощью Live.CD, и очень аккуратно с очисткой системных файлов.
Анализ файлов в списке...
[QUOTE]Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\WINLOGON.EXE ]
Доступ к файлу получен [C:\WINDOWS\SYSTEM32\WINLOGON.EXE]
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\SERVICES.EXE ]
Доступ к файлу получен [C:\WINDOWS\SYSTEM32\SERVICES.EXE]
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\LSASS.EXE ]
Доступ к файлу получен [C:\WINDOWS\SYSTEM32\LSASS.EXE]
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\SVCHOST.EXE ]
Доступ к файлу получен [C:\WINDOWS\SYSTEM32\SVCHOST.EXE]
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\SPOOLSV.EXE ]
Доступ к файлу получен [C:\WINDOWS\SYSTEM32\SPOOLSV.EXE]

[/QUOTE]Подозрительные и вирусы
[QUOTE]--------------------------------------------------------
C:\WINDOWS\SYSTEM32\LSASS.EXE
Хэш НЕ найден на сервере.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\SERVICES.EXE
Хэш НЕ найден на сервере.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
Дата: 2010-10-31 [2009-03-16 10:36:23 UTC ( 2 years, 10 months ago )]
probably a variant of Win32/Agent.NJOECEQ [NOD32]
Trojan Horse [Symantec]
Win32:Trojan-gen [Avast]
Trojan.Generic.1761669 [BitDefender]
TR/Patched.CX.1 [AntiVir]
Детектов: 5 из 9
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
Хэш НЕ найден на сервере.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
Хэш НЕ найден на сервере.
--------------------------------------------------------
[/QUOTE]

[B]envil[/B],
если проблема со значками в трее осталась,
сделайте следующее.
1.
выполните в окне cmd следующие действия:
[CODE]REG EXPORT HKEY_CLASSES_ROOT\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153} c:\filereg1.reg[/CODE]
и
[CODE]REG EXPORT HKEY_CURRENT_USER\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32 c:\filereg2.reg[/CODE]

далее,
найти файлы c:\filereg1.reg, c:\filereg2.reg
добавить в архив filereg.rar
и добавить файл архива на форум в ваше сообщение.
----------
2. создайте новую учетную запись,
зайти под этой учетной записью в систему
и проверить, есть ли указанная выше проблема, для данной (новой) учетной записи.

хорошо,
выполните [URL=http://forum.esetnod32.ru/forum9/topic751/]наши рекомендации по безопасной работе[/URL]

[QUOTE]Арвид пишет:
разве мало было случаев когда Carberp был скрыт в загрузчике и uVS его не видел? да и доступ в сеть не всегда есть чтоб отправить загрузчик на анализ (а загрузчики программа проверяет всех разделов)
[/QUOTE]
из под Live.CD в uVS может быть другая картина по загрузчикам.
+ еще ест ьвариант [URL=http://forum.esetnod32.ru/forum9/topic2729/]проверка на руткиты с помощью файла сверки[/URL]. Если в активной системе изменение загрузчика скрыто от uVS, то по файлу сверки он обнаружит это. А значит, с большой уверенностью, без првоерки на VT можно сказать, что подменен загрузчик.
[QUOTE]Арвид пишет:
все утилиты из LiveCD можно использовать, все работоспособны. теперь думаю как бы там удобнее обновлять базы к Ноду, по ходу придется пересобирать образ каждое определенное время  [/QUOTE]

надоест каждый день пересобирать. А главное, выкладывать в сеть. К тому же есть eset_linux_rescue, с актуальными базами каждый день, и возможностью обновиться из сети.

загрузчики можно проверить и в uVS, а вот проверяет ли tdsskiller неактивный раздел (имею ввиду драйвера неактивной системы) - это вопрос. Вообще, спору нет, утилита полезная, одна из лучших у ЛК. (если не лучшая.)
т.е. смысла нет добавлять утилиты в Live.CD только потому что они небольшие. Должны выполнять задекларированные действия в неактивном разделе.
------------------
[B]по Corkow.[/B]
проверяйте по описанию Corkow из энциклопедии ESET. Если файл явно не обнаружен в образе автозапуска. (Возможно, не проверяется данный ключ в реестре).

[QUOTE]The trojan may set the following Registry entries:

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
   lanmanserver\parameters]
   "ServiceDll" = "%commonprogramfiles%\microsoft
   shared\%variable1%.%variable2%"
   [B][HKEY_CURRENT_USER\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\
   InprocServer32][/B]
   "Default" = "%appdata%\Microsoft
   Corporation\%variable1%.%variable2%"

This way the trojan ensures that the file is executed on every system start. [/QUOTE]

надо запросить у пользователя, значение параметра default для выделенного ключа.
если есть такой ключ в реестре, то проверить значение параметра на VT.

[QUOTE]DianaN пишет:
что теперь делать?[/QUOTE]
ответить на вопрос.
если лечение выполняете на машине, с которой сейчас пишите, тогда возможно, ошибка скрипта при копировании, о чем пишет [B]Арвид.[/B]

если скрипт копируете с текущей (чистой машины), на другую (зараженную),
тогда вариант выполнения скрипта должен быть другой:

выполнить скрипт в uVS из файла.

соответственно и скрипт должен быть приложен к теме в виде файла.

да, программа ESET NOD32 не бесплатная, необходим логин и пароль чтобы скачать коммерческую версию.