1. выполнить скрипт uVS из безопасного режима системы
2. деинсталляция программ будет по ходу выполнения скрипта.
3. это выполнить из нормального режима
[QUOTE]далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/[/QUOTE]

так же выполнить скрипт в uVS из безопасного режима
проверку в мбам сделайте в нормальном режиме.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALEX-2\APPLICATION DATA\2270\A24675.EXE
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALEX-2\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME.BAT
delall %SystemDrive%\IEXPLORE.BAT
hide %SystemDrive%\PROGRAM FILES\UNLOCKER\UNINST.EXE
hide %SystemDrive%\PYTHON26\PYTHON.EXE
hide %Sys32%\GAMEMON.DES
hide %SystemDrive%\DOCUMENTS AND SETTINGS\ALEX-2\РАБОЧИЙ СТОЛ\INSTALL_FLASHPLAYER10_MSSD_AIH.EXE
hide %SystemDrive%\PROGRAM FILES\TICNO\MULTIBAR\UNINSTALL.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=F918A872AB9A374BD419F2­712DEEC1E6&TEXT={SEARCHTERMS}

regt 28
regt 29
; Ticno multibar
exec C:\Program Files\Ticno\Multibar\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[B]Валентин[/B], можно ли добавить в правила HIPS не абсолютный, а относительный путь на файл? например: %temp%\pubring.gpg
(таким образом можно было бы защититься он bat.encoder.)

хорошо, ждем новый образ автозапуска

если учетка админская, то скорее всего настроен HIPS на блокирование ряда операций

[QUOTE](!) Не удалось получить прямой доступ к физическому диску #0, возможно в системе активен руткит!

(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKLM\Software\Policies\Microsoft\Windows\IPSec\Policy\Local
[/QUOTE]
в этом случае, или надо отключить антивирусную защиту, или все таки добавить образ автозапуска из безопасного режима системы.

переделайте образ  с правами администратора.

добавьте образ автозапуска зараженной системы.
(можно из безопасного режима системы)
http://forum.esetnod32.ru/forum9/topic2687/

антивир может некорректно быть установлен, если система заражена.

надо уже прийти к мысли, что  просто купить и установить антивирус - этого будет недостаточно для безопасности ваших систем и данных. большую часть угроз антивирус закрывает. но в случае с шифраторами - там сложнее будет определить угрозу. поскольку почти всегда шифраторы используют легальные программы для шифрования. тот же bat.encoder использует легальную программу gnuPG, да, там все файлы являются легальными, в том числе и утилита от компании Микрософт для удаления ключей шифрования. Значит надо использовать современные методы защиты от угроз... в частности HIPS, настраивать правила блокирования угроз, настраивать белые списки программ, которые могут быть запущены в системе. Вообщем, это работа для администратора по безопасности.

а где вы нашли такой режим - вернуться к настройкам HIPS по умолчанию?

антивирус - не панацея от всех бед.

работу с пользователями никто не отменял.

1. резервное копирование важных документов.
2. не запускаем странные файлы из почтовых вложений. надо разъяснить менеджерам азы безопасной работы в сети.