[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

[code]

;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\STAR­T MENU\PROGRAMS\STARTUP\PJWX842UGZC.EXE
addsgn 79132211B9EBA06A0AD4AE82A443C28C604E7563C505E087D64850F0AF29­8EC167977674EEDC0819D47F7BC9CDDEC26F3120178D6E0AC52AA4E294D0­38F901BB 8 a variant of Win32/Kryptik.XIX [NOD32]

zoo %SystemRoot%\BIKIX.SYS
addsgn A76D8B9A556ACC01FA8C2F4B82F80964506DF9F288FA1E90C243C5BC51C3­60593212C25209C70C589C27859E4715E15864DEE96340CBB52D28B8AD8B­9B372372 8 Win32/Rootkit.Kryptik.EN [NOD32]

bl F02A78F47DA16F191C780A756692DC31 167936
delall %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\STAR­T MENU\PROGRAMS\STARTUP\PJWX842UGZC.EXE
addsgn A7679B19B93224F2EAC1BDD908290716DA9FD0C69CE9953886F9C032B1C3­6243A62EC0573E92980BAA95978746164979409D696746DABFA86777A42F­443B60F2 8 a variant of Win32/Kryptik.WPZ [NOD32]

zoo %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\{11225927-4614-1683-0370-724926946138}.EXE
bl 24C3E0554CCC99A6E376569A4BEB40B0 158208
delall %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\{11225927-4614-1683-0370-724926946138}.EXE
delall %SystemDrive%\USERS\1\APPDATA\ROAMING\QIP\PROFILES\LINKIN007­\RCVDFILES\MAKSINIMA_350715407\SA-MP-0.3A-INSTALL.EXE
sreg
delref %SystemRoot%\BIKIX.SYS
areg

[/code]

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

[code]

;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\KORUERY.2C
addsgn 79A853921D1F5241CB57569C1BC05286DDEE800362F575787AB7E1ACAFA2­5540CB0B3CA8C13F9C11E98C84F5457C49907D37E38DAA2535EC59675B5B­E30ADD07 8 Corkow.A [NOD32]

delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\KORUERY.2C
chklst
delvir
delref HTTP://PODRYAD.TV/
deltmp
delnfr
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

ну, если бы один и тот же скрипт подходил для всех случаев заражений, то не было бы никаких проблем.
-------------
сделайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

[code]

;uVS v3.73 script [http://dsrt.dyndns.org]


addsgn A7679B19B9621B2486C13C2130C87A4AEDAFFCA9332DD85685C03FEBAFC3­291C6317601CAE019DA17F707B60E5E9D8AE7D20DD7EC78EB0D31847347B­C7504A85 8 Spy.Shiz

zoo %SystemRoot%\APPPATCH\RUIQDDE.EXE
bl ECE4A3424E0B47FF4B17A8A665D04D9D 258560
delall %SystemRoot%\APPPATCH\RUIQDDE.EXE
chklst
delvir
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
deltmp
delnfr
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

[B]mari4416[/B], здесь все по пунктам расписано.
http://forum.esetnod32.ru/forum6/topic2102/

нужен от вас будет образ автозапуска.

+
сделайте дополнительно проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[QUOTE]cold_zer0 пишет:
Santy , на этом борьба с заразой закончилась?[/QUOTE]
судя по логам, от основных проблем: Expiro + Carberp система очищена,
-----
можно еще выполнить быстрое сканирование в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

затем выполнить рекомендации по ссылке [B]ZloyDi[/B] в сообщении 6

удалите в МБАМ найденные файлы,
------
далее,
выполните наши рекомендации по безопасной работе
http://forum.esetnod32.ru/forum9/topic751/

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic751/
тема закрыта.

1. Выполните полное сканирование систему, убедитесь что Expiro полностью пролечен.
[QUOTE]13.12.2011 19:28:43 Защита в режиме реального времени файл C:\Windows\System32\icardagt.vir Win32/Expiro.NAB вирус очищен - изолирован BEST\Администратор Событие произошло в новом файле, созданном следующим приложением: C:\Users\Администратор\AppData\Local\Temp\65E9.tmp.
13.12.2011 19:00:02 Защита в режиме реального времени файл C:\Program Files\Windows Mail\WinMail.vir Win32/Expiro.NAB вирус очищен - изолирован BEST\Администратор Событие произошло в новом файле, созданном следующим приложением: C:\Users\Администратор\AppData\Local\Temp\65E9.tmp.
[/QUOTE]
2.
Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.