выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\APPLICATION DATA\WINCHECK\WINCHECK.EXE
addsgn 1AA52F9A5583C58CF42B16DA9B8A12A67576BFF64EFF4B84C6C3A44A12D6­B6497BEB80572BA3DF49EC85D8630516070C3FDF2F773526F32C9A82E62F­6462DE30 8 ConvertAd

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\TEMP\LQNPOMZXM5Z1.EXE
addsgn 1A51119A5583C58CF42B627DA804DEC9E909C13EC4B61F788A478ADB50D6­F2A02B186D0B1A51160D0F84A11F391649C7FDC0E87220D5691009112F2B­E360A193 8 LoadMoney.413

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\TEMP\FXMLS34ONT1V.EXE
addsgn 1ACBE59A5583C58CF42B254E3143FE8E609EAA73498E5EFBF8CBC5C9433E­23B0DCE8A94160DCADA1CDEE849FCDD0A2D0FEA2F872213D89692104AAC7­F3FADD8C 8 LoadMoney.422

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\TEMP\7JD64EAF0NCE.EXE
addsgn 1AFD039A5583C58CF42B627DA804DEC9E946303A45369C450D0591BC50D9­F5D25717C3D4D25D92E777A4801402324DDFFDA0E872685AAF2C2D02ABF6­FB2244F8 8 LoadMoney.422

delall %SystemDrive%\PROGRAM FILES\ANYPROTECTEX\ANYPROTECT.EXE
addsgn 7300F39B556A1F275DE775E6ED94361DE2CED8E6B96B5F780C9FE19C9692­555803E8D6634E159D212A00849FB903FD8A3DDFBB8D4056C26C2D1DAD8C­7F316073 8 Win32/Glupteba.AF

zoo %SystemDrive%\PROGRAM FILES\GORN\GORN\CRYPT.EXE
del %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\BROWSERS\EXE.AREPO.BAT
del %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\BROWSERS\EXE.EMORHC.BAT
del %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\BROWSERS\EXE.EROLPXEI.BAT
del %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\BROWSERS\EXE.EROLPXEI.BAT
del %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\BROWSERS\EXE.REHCNUALTOW.BAT
del %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\BROWSERS\EXE.REHCNUALTS.BAT
del %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\BROWSERS\EXE.XOFERIF.BAT
addsgn 1A28B79A5583C58CF42B254E3143FE8E6082AA7D783C5974854605C9333E­1EC123174A1136DED525A28E0FD72E9F07FEF6D1D37FBDD2902959652F22­67000276 8 Win32/RuKometa.B

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\TEMP\NETD9EA.TMP.EXE
addsgn 1A519D9A5583338CF42BFB3A88434711AEC7F4A00C286A75000AB0B1699B­7D39022403BC10D0543D320BC193C3D63DE8F80D9D76DDCB5BC5A602B4AA­317335B5 8 Win32/ELEX.BH

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWSMANGERPROTECT\PROTECTWINDOWSMANAGER.EXE
addsgn 1A24D99A55834C720BD4C4A50C008646256273A089FAF7ACABC3C5B3E726­1B4ECB4C6D573E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46F­C7879A73 8 Trojan.DownLoader

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\VKMUSICDOWNLOADER.EXE
;------------------------autoscript---------------------------

chklst
delvir

setdns Подключение по локальной сети\4\{A13FABE6-D7CB-4978-9B53-8974CEC217EC}\8.8.8.8,8.8.4.4
delref {74F475FA-6C75-43BD-AAB9-ECDA6184F600}\[CLSID]

REGT 28
REGT 29

delref HTTP://FORETUNED.COM/

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&TEXT={SEARCHTERMS}

; DefaultTab
exec C:\Documents and Settings\1\Application Data\defaulttab\defaulttab\uninstalldt.exe
; OpenAL
exec C:\Program Files\OpenAL\OpenAL.exe" /U

deldir %SystemDrive%\PROGRAM FILES\REGCLEAN PRO

dnsreset

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [URL=mailto:[email protected]][email protected][/URL], [URL=mailto:[email protected]][email protected][/URL]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

добавьте дополнительно лог журнала обнаружения угроз
[URL=http://forum.esetnod32.ru/forum9/topic1408/]http://forum.esetnod32.ru/forum9/topic1408/[/URL]

по очистке системы выполните скрипт в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


;uVS v3.85.3 [[URL=http://dsrt.dyndns.org]http://dsrt.dyndns.org[/URL]][CODE]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
delall %SystemDrive%\DOCUME~1\9335~1\LOCALS~1\TEMP\208036.EXE
delref HBFUVWIC.BZ
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=C6BCF45B13BAFB4DD74072­7C5ED3F177&TEXT={SEAR...
;------------------------autoscript---------------------------

chklst
delvir

; Java™ 6 Update 31
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} /quiet
REGT 28
REGT 29
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------

по *[URL=mailto:[email protected]][email protected][/URL] обращайтесь непосредственно в техподдержку вирлабов.
возможно расшифруют при наличие лицензии на антивирус компании, в которую вы обратитесь

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\NATASHA\APPDATA\ROAMING\ETRANSLATOR\ETRA­NSLATOR.EXE
addsgn A7679B1991867FB28291420928E17105CD11152A76C9DF2DED1C25DF50B2­8E7C479EE3BF463C41B6AE40F1AFAE49C500825B28077557E5C01EB74CEE­AEDADDF8 13 Trojan.Zadved.17 [DrWeb]

delall F:\ПУСТАЯ ПАПКА\@РАБОЧ. ПАПКА @\-).EXE
hide %SystemDrive%\HOMEBANK\HBUPGRADES\IKEYDRVR.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://SIMSIMOTKROYSIA.RU/

; etranslator
exec C:\Users\Natasha\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall
; Java™ 6 Update 24
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

DNS ваш?
[URL=https://www.nic.ru/whois/?query=82.209.240.241]https://www.nic.ru/whois/?query=82.209.240.241[/URL]

[QUOTE]descr: Republic of Belarus
country:        BY[/QUOTE]

ok, отправил в [URL=mailto:[email protected]][email protected][/URL]

вы все cделали так, теперь просьба выслать это же вирусное тело в почту  [URL=mailto:[email protected]][email protected][/URL]

[B]Михаил Кретов[/B], вышлите тело вируса в почту [URL=mailto:[email protected]][email protected][/URL] в а архиве с паролем infected

[B]g0dl1ke[/B], напиши про ShadowExplorer в полезные программы.