новые образы автозапуска добавьте по ac1, ac3

[QUOTE]santy пишет:
у ДрВеба этот вариант банкера называется Trojan.PWS.Ibank
[url]http://vms.drweb.com/virus/?i=2417506[/url] [/QUOTE]

Дрвеб добавил детект
[QUOTE]DrWeb Trojan.PWS.Ibank.709 20130624 [/QUOTE]
https://www.virustotal.com/ru/file/3ea5a9e03e6f7fcad6d275fb2151391e8b278b04aaeca13a­88bf5c3075fc8e17/analysis/1372081589/

это может и не надо было.

[QUOTE]Обнаруженные процессы в памяти: 1
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> 3456 -> Действие не было предпринято.

Обнаруженные файлы:  5
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Действие не было предпринято.[/QUOTE]

придется заново активировать офис.

далее,

сделайте проверку в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[CODE]
;uVS v3.80.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MOZILLA\PNMKHBA.DLL
;addsgn A7659219B962CF0F07D5DBB48C86EDFADA4344F789FA1FBA89C39035B555­9D54E413E7573E559DB63E7C449E56468EBE59DBE87255DA77280977A42F­C7F9378B 64 majachok.dlls

zoo %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\YANDEX\UPDATER\PRAET­ORIAN.EXE
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetorian

addsgn A1BD2552D16A4CF3E656AEB1640F57FB258AFCF661C11A78854A068D905F­3432AE52BD07B78D91097B38848106166431689FE8223D11A56C2D88B1E3­D64422F0 8 majachok.tasks

zoo %SystemDrive%\PROGRAMDATA\MOZILLA\DTTESXM.EXE
delref %SystemDrive%\PROGRAMDATA\MOZILLA\PNMKHBA.DLL
;------------------------autoscript---------------------------

chklst
delvir

REGT 5
; Search-Results Toolbar
exec C:\PROGRA~2\BEARSH~1\Mediabar\Datamngr\SRTOOL~1\uninstall.exe

deltmp
delnfr
;-------------------------------------------------------------
czoo
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
----------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

или через функцию в uVS [B]выполнить скрипт из файла.[/B]

файлы скриптов в приложении.

по 3 машине ac3

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v3.80.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo E:\SAAQWGRQOHHRQBG.EXE
addsgn 925277BA176AC1CC0B24534E3341F788B9AE7C3776052EB8D5FA19C9AB90­371F4B2D0A543E021E8A2FD3EC6B8E1749ACFE1CEC21051DB32F2D75A4BF­5796B2E3 8 Win32/Dorkbot.B

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\SCREENSAVE­RPRO.SCR
bl 864F6C7964AA68414173911B99188820 124416
adddir %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING
;------------------------autoscript---------------------------

chklst
delvir
REGT 5
deltmp
delnfr
;-------------------------------------------------------------
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

по 2 машине ac1

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v3.80.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo E:\SAAQWGRQOHHRQBG.EXE
addsgn 925277BA176AC1CC0B24534E3341F788B9AE7C3776052EB8D5FA19C9AB90­371F4B2D0A543E021E8A2FD3EC6B8E1749ACFE1CEC21051DB32F2D75A4BF­5796B2E3 8 Win32/Dorkbot.B

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\SCREENSAVERPRO.SCR
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\SCREENSAVE­RPRO.SCR
bl 864F6C7964AA68414173911B99188820 124416
adddir %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING
adddir %SystemDrive%\USERS\USER\APPDATA\ROAMING
;------------------------autoscript---------------------------

chklst
delvir
REGT 5
deltmp
delnfr
;-------------------------------------------------------------
czoo
restart

[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

по 1 машине.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[CODE];uVS v3.80.10 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\SCREENSAVERPRO.SCR
addsgn 925277BA176AC1CC0B24534E3341F788B9AE7C3776052EB8D5FA19C9AB90­371F4B2D0A543E021E8A2FD3EC6B8E1749ACFE1CEC21051DB32F2D75A4BF­5796B2E3 8 Win32/Dorkbot.B

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\SLJJJB.EXE
bl 864F6C7964AA68414173911B99188820 124416
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA
;------------------------autoscript---------------------------

chklst
delvir
REGT 5
; Java™ 6 Update 39
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216039FF} /quiet

deltmp
delnfr
;-------------------------------------------------------------
czoo
restart

[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

хорошо, закрываем тему.

(второй подобный случай с ibank здесь на форуме. в этот раз разобрались.)

я это добавил в список критериев для деинсталла

[QUOTE]ASK TOOLBAR
BABYLON TOOLBAR
BABYLONOBJECTINSTALLER
BROWSER MANAGER
BROWSETOSAVE
DEALPLY
FACEMOODS
GET STYLES
GET-STYLES
JAVA™ 6
MCAFEE SECURITY SCAN
MEDIABAR TOOLBAR
PANDORA SERVICE
SEARCHQU TOOLBAR
STARTNOW TOOLBAR
TICNO IO
TICNO MULTIBAR
TICNO SHELL
TICNO TABS
TNOD USER
BONJOUR
SEARCH-RESULTS TOOLBAR[/QUOTE]