в таком варианте - отлично,
будут какие то идеи или дополнения, напишу.
посмотрим, как будет работать. прикрепил ее повыше, чтобы не терялась.

[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

[code]

;uVS v3.73 script [http://dsrt.dyndns.org]

delall D:\AUTORUN.INF
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://WWW.YAHOO.COM
deltmp
delnfr
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.
-------
+ лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

возможно, что-то подобное на этот MBRLock
http://defendium.info/showthread.php/3332-%C2%AB%D0%94%D0%BE%D0%BA%D1%82%D0%BE%D1%80-%D0%92%D0%B5%D0%B1%C2%BB-%D0%BF%D1%80%D0%B5%D0%B4%D1%83%D0%BF%D1%80%D0%B5%D0%B6%D0%B4­%D0%B0%D0%B5%D1%82-%D0%BE-%D0%BD%D0%BE%D0%B2%D0%BE%D0%B9-%D0%B2%D0%B5%D1%80%D1%81%D0%B8%D0%B8-Trojan.MBRlock

сейчас хорошо,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic751/
тема закрыта.

[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

[code]

;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\STELLARSPHERE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\MWJKEAAWACA.EXE
addsgn 79132211B9EBA0160AD4AE3A614072472501F17EE9B81FF1080F3B43AF5F­F420DCE83C04159414CC277F7B60109D4C721D9DE8FFCD187A2C2DFE391F­38F9DD24 8 tr.Carberp

delall G:\AUTORUN.INF
bl 13676CFE771A82C0D2A5647744CAD9E2 167424
delall %SystemDrive%\DOCUMENTS AND SETTINGS\STELLARSPHERE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\MWJKEAAWACA.EXE
chklst
delvir
delall %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.7\BH\FACEMOODS.DLL
delall %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.7\FACEMOODSTLBR.DLL
delref HTTP://START.FACEMOODS.COM/?A=DDRNW
delref HTTP://START.FACEMOODS.COM/?A=DDRNW
delref HTTP://START.FACEMOODS.COM/?A=DDRNW&F=2
deltmp
delnfr
czoo
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

[code]

;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\USERS\САША\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\OLHKEAZLD7M.EXE
addsgn 79132211B9EBA0160AD4AE3A614072472501F17EE9B81FF1080F3B43AF5F­F420DCE83C04159414CC277F7B60109D4C721D9DE8FFCD187A2C2DFE391F­38F9DD24 8 tr.Carberp

delall %SystemRoot%\TEMP\DC811421124EA5.SYS
bl 13676CFE771A82C0D2A5647744CAD9E2 167424
delall %SystemDrive%\USERS\САША\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\OLHKEAZLD7M.EXE
chklst
delvir
delall %SystemDrive%\TEMP\QXUDB9B.TMP
delall %SystemDrive%\USERS\САША\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
czoo
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

маскируется значит. но не всегда так бывает.встречается "ошибка распаковки файла" при живом Carberp.

удалите в МБАМ все, кроме
[QUOTE]Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
[/QUOTE]
перезагрузка,
новое сканирование в МБАМ

[QUOTE]Арвид пишет:
Да, получилось после обновления удалить вирус через сканирование папки. Сканирование памяти не дает ничего. Может небольшой мануал со скринами накидать?  [/QUOTE]
а как ты базы обновил? предварительно выгрузил Carberp?

Арвид, попробуй обобщить все методы удаления Carberp (образ uVS, сканирование оперативной, журнал угроз, сканирование папки документов и т.д.) и можно добавить как отдельную статью в полезную информацию. Скрипты только не пиши универсальные.
Будем давать ссылку на эту статью при лечение Carberp.
и здесь можно ссылку на нее дать.
--------
в каком виде получится, можно опубликовать. Возможно какие то исправления или предложения будут от RP55, ZloyDi, santy, Валентин, можно что-то будет добавить или исправить, и окончательный вариант уже поместить на форум.
Все легче будет отсылать посетителей к теме лечения Carberp.