C:\WINDOWS\SGOPE.SYS
ESET NOD 32 в настоящее время детектит данный руткитный драйвер.
http://www.virustotal.com/file-scan/report.html?id=91b47add1a6dc0f3f07e900d4f725897b0cb30362c32ae4a88efd4096­84df3ff-1295947790

1. выполните в [b]uVS[/b] приложенный скрипт [B]в безопасном режиме[/B];

после перезагрузки,
2. пробуем обновить антивирус, выполнить полное сканирование;

далее,
3. архив из папки uVS (имя автоматически формируется от текущей даты, например: 2010-10-04_13-30-55.rar/7z)
*** в него автоматически помещены копии вирусов для отправки в вирлаб
... отправить в почту [b][email protected][/b], [b][email protected][/b];
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем [b]infected[/b]

далее,
4. запостить новый лог uVS (предварительно поместите в архив rar).
*** просьба, каждый последующий лог переименовывать в uvs1, uvs2 и т.д.

[b]p.s.[/b]
*** просьба, пройти лечение до конца т.е. предоставить по ходу лечения другие запрашиваемые логи
*** + после завершения лечения установить обновление по всем указанным программам

[QUOTE]Виктор пишет:
Очень нужно видео, Wininternals Administrators Pack v5 я скачал  
[/QUOTE]
here
http://forum.esetnod32.ru/messages/forum9/topic1428/message12318/#message12318

Как создать ERD commander 2005 &uVS
(после загрузки с ERD com 2005 папку с uVS надо будет скопировать на жесткий диск, и с него соответственно запускать start.exe)
sha1 - 20741C02C970BAEB947DF9244B8AFE8DF42786AF

[QUOTE]Виктор пишет:
santy  поделитесь своим ERD commander-ом 5.0 под XP с uVS и загрузкой через USB флешку.[/QUOTE]

Его можно создавать самостоятельно.
Найдите в сети пакет Wininternals Administrators Pack v5, установите в системе... там есть процедура создания загрузочного диска ERD commander 2005, и механизм добавления других программ прост.

Если нужно, могу создать видеоурок, как создать ERD commander 2005 с учетом того, что данный пак у вас установлен.

На флэшке я создаю загрузочный winpe с бортовым EAV или ESS плюс far, uVS. аналогично, если установлен WAIK, то можно создать видеоурок.

Загружать в сеть ERD&uvS или EsetSysRescue&uVS мне кажется неразумно, потому что uVS оперативно меняется.

а вот чистый ERD для пользователей есть в сети. Здесь.
http://rghost.ru/3950442

[QUOTE]Виктор пишет:
Вот команды по очистке реестра от неправильного пути к  userinit.exe
...
Выполняются в командной строке.[/QUOTE]

DisableRegedit не имеет отношения к очистке ключей userinit, в остальном все правильно, и обязательно в кавычках указывать пусть к ветке реестра.

И кстати, эту команду можно использовать в самом скрипте uVS используя конструкцию EXEC cmd /c "REG ADD HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon /v Userinit /t REG_SZ /d userinit.exe /f"

[QUOTE]RP55 RP55 пишет:
Заметил - только был вопрос в плане контроля со стороны руководящего состава компании - и в целом отношение руководства.
[/QUOTE]
Мы с Di не входим в руководящий состав компании, поэтому не можем выразить отношение руководства компании по этому поводу. Наша задача сейчас - оперативная помощь пользователям в лечение заражения, тестирование инструментов защиты, повышение компьютерной грамотности пользователей за счет рекомендаций по безопасности, изучение новых угроз, предоставление сэмплов вирлабу для оперативного выпуска антивирусных баз.

[QUOTE]Виктор пишет:
С виртуализацией (breg sreg areg) я не очень поянл.. как это работает, что должен увидеть в результате.[/QUOTE]
выдержка из документации о виртуализации
[QUOTE]Суть:
1. Как правило защита зловреда не распространяется на копии ключей, соотв. вы можете спокойно
  очищать реестр от зловредов не подозревающих о вашей "злонамеренной" деятельности.
  (Вы работаете с копиями SYSTEM и SOFTWARE, а не с реальным реестром)
2. Некоторые руткиты скрывающие свои ключи могут проявиться в списке uVS при виртуализации.
3. После завершения очистки необходимо актуализировать реестр и это можно сделать двумя способами:
  а) Выбрать в меню "Реестр" соотв. пункт.
  б) В этом случае вы просто выходите из uVS и загружаетесь в recover console.
     (Например если зловред блокирует подмену реестра)
     Файлы именуются SYSTEM.2 и SOFTWARE.2 и создаются в обычном для реестра месте.[/QUOTE]
предполагается, что виртуализированный реестр содержит ключи, которые не отслеживает руткит, следовательно они должны быть доступны для просмотра в списке uVS...

те же ключи с руткитом, которые не попали в список, соответственно не попадут в актуализированный реестр, и после перезагрузки руткит возможно будет неактивный. Механизм актуализации состоит видимо в методе подмены реестра системы на виртуализированную копию.

т.е. если применить данные команды : sreg, areg можно понаблюдать засветится ли скрываемый в системе руткит.

тема будет перенесена в раздел обнаружения вредоносного кода, не теряйте ее.

1. выполните в [b]uVS[/b] приложенный скрипт;
после перезагрузки,
2. обновить антивирус, выполнить полное сканирование;

далее,
3. архив из папки uVS (имя автоматически формируется от текущей даты, например: 2010-10-04_13-30-55.rar/7z)
(*** в него автоматически помещены копии вирусов для отправки в вирлаб)
... отправить в почту [b][email protected][/b], [b][email protected][/b];
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем [b]infected[/b]

далее,
4. запостить новый лог uVS (предварительно поместите в архив rar).
[b]p.s.[/b]
*** просьба, каждый последующий лог переименовывать в uvs1, uvs2 и т.д.
*** просьба, пройти лечение до конца т.е. предоставить по ходу лечения другие запрашиваемые логи
*** + после завершения лечения установить обновление по всем рекомендуемым программам