+
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]проверку системы в малваребайт[/URL]

[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

[code]

;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemRoot%\APPPATCH\EFINTL.EXE
addsgn A7679B19B9561B24CCD1AAD327C8B731258A3BB37D50F17185488848D117­E3381A1792907B919D492B800FD28247B6EF5DBEA872DC9F5844977EA42F­98BD3F55 8 Spy.Shiz

bl A206F7F7E0646ED928DA55BB735BB2BA 260944
delall %SystemRoot%\APPPATCH\EFINTL.EXE
chklst
delvir
deltmp
delnfr
regt 12
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]проверку системы в малваребайт[/URL]

да, удалите найденное в МБАМ
далее,
выполните [URL=http://forum.esetnod32.ru/forum9/topic751/]наши рекомендации[/URL]
------
по рисунку,
возможно, необходимо переустановить софт для сканера.
http://www.mustek.com.tw/html/prod_scan/BearPaw.html

сделайте проверку в малваребайт (ссылка выше).

[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта
[code]

;uVS v3.73 script [http://dsrt.dyndns.org]

addsgn A7679B19B9561B24CCD1AAD327C8B731258A3BB37D50F17185488848D117­E3381A1792907B919D492B800FD28247B6EF5DBEA872DC9F5844977EA42F­98BD3F55 8 Spy.Shiz

zoo %SystemRoot%\APPPATCH\PBNBWEA.EXE
bl 89785DE0D5A851A64E2519C049B5959E 260944
delall %SystemRoot%\APPPATCH\PBNBWEA.EXE
delall %SystemDrive%\PROGRAM FILES\ASK.COM\GENERICASKTOOLBAR.DLL
chklst
delvir
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
deltmp
delnfr
restart

[/code]
перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]проверку системы в малваребайт[/URL]

по [B]Spy.Shiz[/B] пошла следующая тенденция. файл имеет цифровую подпись. При создании полного образа автозапуска получает статус "ПРОВЕРЕННЫЕ", и не будет виден в списке подозрительных.
необходимо или проверять категорию ВСЕ, или сбрасывать флажок проверенные в категории ПОДОЗРИТЕЛЬНЫЕ И ВИРУСЫ.
---------------
[QUOTE]Полное имя C:\WINDOWS\APPPATCH\CWWNJC.EXE
Имя файла                   CWWNJC.EXE
Тек. статус                 ?ВИРУС? ПРОВЕРЕННЫЙ в автозапуске
                           
Удовлетворяет критериям    
ЛИШНЕЕ В USERINIT           USERINIT: C:\WINDOWS\SYSTEM32\USERINIT.EXE,C:\WINDOWS\APPPATCH\CWWNJC.EXE,
ЛИШНЕЕ В USERINIT           USERINIT: C:\WINDOWS\APPPATCH\CWWNJC.EXE
                           
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
Размер                      260944 байт
Создан                      12.05.2011 в 18:59:39
Изменен                     15.01.2012 в 12:15:55
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
[B]Цифр. подпись Действительна, подписано Primetech Ltd.[/B]
                           
Версия файла                1.2.1.5
Описание                    preternatural
Продукт                     Starvy
Copyright                   gunpowderous
Производитель               1C
                           
Доп. информация             на момент обновления списка
SHA1                        D8F0B883216292A3B9FE8A39182183FC7E0395E5
MD5                         8BDC8225135A410C67E958D7C263A999
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\System
System                      C:\Windows\apppatch\cwwnjc.exe
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Userinit                    C:\WINDOWS\system32\userinit.exe,C:\Windows\apppatch\cwwnjc.exe,
                           
Ссылка                      HKEY_USERS\S-1-5-21-3707235542-2740076149-2660248870-1000\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
Load                        C:\Windows\apppatch\cwwnjc.exe
                           
Ссылка                      HKEY_USERS\S-1-5-21-3707235542-2740076149-2660248870-1000\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
Run                         C:\Windows\apppatch\cwwnjc.exe
                           
Ссылка                      HKEY_USERS\S-1-5-21-3707235542-2740076149-2660248870-1000\Software\Microsoft\Windows\CurrentVersion\Run\userinit
userinit                    C:\Windows\apppatch\cwwnjc.exe
[/QUOTE]

+
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]проверку системы в малваребайт[/URL]

[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

[code]

;uVS v3.73 script [http://dsrt.dyndns.org]

delall F:\AUTORUN.INF
delall %SystemRoot%\APPPATCH\PYTEWDO.EXE
deltmp
delnfr
regt 5
regt 12
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.

[QUOTE]RP55 RP55 пишет:
И кстати говоря, что там за безобразие с VirusTotal разработчики в честь Старого< = >Нового года сотворили ?[/QUOTE]
есть такое,
как всегда - лучшее, враг хорошего. Написал автору uVS - возможно, что-то изменилось по функциям API. + новая проверка у них появилась - проверка по URL.
Идея хорошая про добавление строки голосования. :).