[B]только после выполнения действия 1[/B]

выполните скрипт

[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[CODE]
;uVS v3.80.13 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %Sys32%\HALE.EXE
addsgn 925262BA056AC1CCE03B414E3341F788B9AE7C3776052EB8D5FA19C9AB90­371F4B7AFA4F3E021E8A2FD3EC7C751E49ACFE1CEC21051DB32F2D75A4BF­5796B2E3 8 malware
delall %SystemDrive%\USERS\ACER\3375842.EXE
delall %SystemDrive%\USERS\ACER\APPDATA\ROAMING\ADOBE FLASH PLAYER\ADOBE.EXE
delall %SystemDrive%\USERS\ACER\DESKTOP\DX9.EXE
delall %SystemDrive%\USERS\ACER\APPDATA\ROAMING\HIDAZO\MEYGI.EXE
delall E:\SETUP.EXE
zoo %Sys32%\RPCSS.DLL
EXEC cmd /c "rename %sys32%\rpcss.dll rpcss.dll.old"
EXEC cmd /c "rename %sys32%\dllcache\rpcss.dll rpcss.dll.old"
EXEC cmd /c "copy rpcss.dll %sys32%\rpcss.dll"
EXEC cmd /c "copy rpcss.dll %sys32%\dllcache\rpcss.dll"
;------------------------autoscript---------------------------

chklst
delvir

setdns Подключение по локальной сети\4\{3925E9D0-A04C-4DD9-96D1-7EB2F4174360}\8.8.8.8,8.8.4.4
; Java™ 6 Update 29
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216026FF} /quiet

; Bonjour
exec MsiExec.exe /X{79155F2B-9895-49D7-8612-D92580E0DE5B} /quiet

deltmp
delnfr
;-------------------------------------------------------------
dnsreset
czoo
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
----------
далее,
[url=http://pchelpforum.ru/showpost.php?p=206554&postcount=6]выполните [SIZE="4"][COLOR="Blue"]быстрое сканирование в Malwarebytes[/COLOR][/SIZE][/url]

1. скачайте отсюда чистый файл rpcss.dll и скопируйте его в папку откуда будете запускать uVS
http://rghost.ru/44940107

может это решение поможет?

[CODE];uVS v3.80.13 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
exec "C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\UNINST-TNOD.EXE"
restart[/CODE]

тема закрыта.

удалите найденное в АдвКлинере по кнопке delete
автоперезагрузка,

далее,
выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

погуглите на эту тему

вот например, тема
http://habrahabr.ru/qa/609/

так есть, активный Carberp не позволил перезаписать загрузчик из активной системы

[QUOTE]OFFSGNSAVE
--------------------------------------------------------
--------------------------------------------------------
fixvbr C: 6
--------------------------------------------------------
Запись загрузчика в VBR:
C:
Ошибка записи [Запрос не был выполнен из-за ошибки ввода/вывода на устройстве. ][/QUOTE]

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

на этом тему закрываем.

и кстати, добавьте лог выполнения скрипта, который вы делали из активной системы.
дата_времяlog.txt из папки uVS
глянем, на реакцию активного Carberp.

хорошо, :). добили мы все таки бутовый Carberp. похоже, и tdsskiller теперь не спасает, одна надежда - на Winpe&uVS.

[QUOTE]Сергей Ананьев пишет:
возможно скрит нужно запускать через Winpe&uVS?[/QUOTE]
конечно через Winpe&uVS.

ведь в нормальном режиме троян активен, и показывает совсем другой код загрузчика, значит и при перезаписи, он либо не позволит выполнить перезапись загрузчика, либо перенаправит запись на другой блок.