закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

[code]

;uVS v3.72 BETA 4 script [http://dsrt.dyndns.org]

addsgn 79132211B9EBA0B60CD4AE0BCDC81205AC1F840F76054CF110373E43AF80­FA4187E783571D9F10188AC20DD2E29FC4168420175184F161A5A0935ED0­388FAF0B 8 tr.Carberp

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl CFC119DDDB16815D13DA67C3473D4EE7 169984
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
chklst
delvir
deltmp
delnfr
regt 5
regt 18
restart

[/code]
перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

[QUOTE]Арвид пишет:
[QUOTE]santy пишет:
проверю еще раз, но уже завтра, как ESS 5 на VM с ним будет сражаться[/QUOTE]
ну сейчас он никак не сражается, так как базы пусты) хочешь запустить вирус при отключенной защите, а потом включить ее? вряд ли справится [/QUOTE]
Про "сражаться" - добавил в шутку, конечно. :).
возможно поведение Carberp будет уже другое.
значит выходит, защита Есета обнаруживает в памяти процесс Carberp еще не имея сигнатуру этого файла.

[QUOTE]Арвид пишет:
судя по твоему скрину и общему размеру двух файлов - у тебя такой же. почему же они по разному работают?   [/QUOTE]
да, такой же. из одного источника. 172 032. не знаю почему. Это как Zaccess всякий раз заражает разные известные системные драйвера.
---
и кстати, загрузка процессора была незначительная все время.
проверю еще раз, но уже завтра, как ESS 5 на VM с ним будет сражаться, если только за ночь файлик не попадет в базы ESET.

и вот к вопросу о детектах других антивирусов
http://virusinfo.info/showthread.php?t=112712

[QUOTE]
Касперский обнаружил заражение в папке Appdata - судя по всему, был основательно заражен Java. Антивирус все почистил, для пущей безопасности я удалил флэш и джаву.
Сегодня Касперский поймал в Appdata/Roaming Trojan-Ransom.Win32.Cidox.aex. Вполне возможно, его поймали без меня (компьютером пользуемся вдвоем с мамой), либо же это какой-то хвост от того трояна? [B]Пока все вроде бы тихо, но я уже ни в чем не могу быть уверен[/B].

Логи прилагаю. Сканирование AVZ проводил в сейф-мод, если это критично. [/QUOTE]
ответ хелперов
[QUOTE]В данном случае это как раз очень кстати.

В безопасном режиме выполните скрипт в AVZ:
Код:

begin
QuarantineFile('C:\Users\Romm-Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\igfxtray.exe','');
DeleteFile('C:\Users\Romm-Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\igfxtray.exe');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.
[/QUOTE]

вот пожалуйста.
http://www.virustotal.com/file-scan/report.html?id=54885f961ac16d7656fe9fb725889c4223b005907302db62dff88bb6e­fa37195-1321899245
следует, заражение зарузочного сектора - тоже результат запуска трояна Carberp.

[QUOTE]Арвид пишет:
начинаю верить в эту антистелс технологию - файл появлялся во время скана в uVS. потом также неожиданно пропадал

а бывает что в папке не появляется, но uVS в логе его показывает[/QUOTE]
--------
Арвид,
а вот еще один интересный факт
как я уже писал, при повторной перезагрузке uVS видел его в автозапуске, но фар уже не показывал его в папке автозапуска.
и закарантинить файл уже нельзя было.... он исчез....
---------
загрузился под Live.CD, в образе уже нет файлика Carberp.
но зато вижу, что IPL не проходит по списку безопасных uVS.
---
перегружаюсь обратно в систему, файлика уже нет в образе uVS, но зато IPL уже заражен, и попадает под детект сигнатур. rt.Cidox.

[QUOTE]Полное имя IPL NTFS [C:]
Имя файла                   IPL NTFS [C:]
Тек. статус                 ВИРУС загрузчик
                           
www.virustotal.com          Хэш НЕ найден на сервере.
                           
Сохраненная информация      на момент создания образа
Статус                      загрузчик
Размер                      7680 байт
                           
Доп. информация             на момент обновления списка
SHA1                        CF5DDB9F4755EF2B929AFB37324A178AD1A1059C
[/QUOTE]

сделайте скан в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

[code]
;uVS v3.72 BETA 4 script [http://dsrt.dyndns.org]

delall %SystemRoot%\APPPATCH\TIWVGXE.DAT
delref HTTP://WEBALTA.RU
fixvbr C: 5
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://WEBALTA.RU/POISK
delall %SystemDrive%\PROGRAM FILES\VPETS\VPETS.EXE
delref HTTP://WWW.SMAXI.NET
deltmp
delnfr
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ОБЩАГА\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
regt 5
regt 18
restart

[/code]
перезагрузка, пишем о старых и новых проблемах.

[QUOTE]Арвид пишет:
при запуске IGFXTRAY.EXE Нод говорит что меняется этот ключ реестра[/QUOTE]
значит через HIPS можно заблокировать его запуск

а вот после перезагрузки системы,
он уже не виден в папке автозапуска даже при запущенном uVS. :).