выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn 988C1FD2472A4C9AD5DAAEB1DB5C120525013B1E0FC01F780CA62D37A45F­4F1ADC02EF477E5516073B0989FF195749713BDB4B1E0A9BB0A77B7F2D3A­B7596373 8 SpyEye.0124
zoo %SystemDrive%\SYSTEMHOST\24FC2AE3F21.EXE
delall %SystemDrive%\SYSTEMHOST\24FC2AE3F21.EXE
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETO­RIAN.EXE
delref /C
deltmp
delnfr
regt 14
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

не факт что это троянский скрипт, у человека установлен TMG клиент.

[QUOTE]Полное имя C:\PROGRAM FILES (X86)\FOREFRONT TMG CLIENT\FWCAGENT.EXE
Имя файла                   FWCAGENT.EXE
Тек. статус                 АКТИВНЫЙ ПРОВЕРЕННЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
                         
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПРОВЕРЕННЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
Процесс                     32-х битный
Размер                      275424 байт
Создан                      16.11.2009 в 15:54:36
Изменен                     16.11.2009 в 15:54:36
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Corporation
                         
Оригинальное имя            FwcAgent.exe
Версия файла                7.0
Описание                    Forefront TMG Client Agent
Производитель               Microsoft ® Corporation[/QUOTE]

[QUOTE]Файл "BIFIT_A\agent.exe" копирует себя в папку "%USERPROFILE%\Application Data\BIFIT_A", копирует "itcspea.dll" в "%WINDOWS%\system32" и самоудаляется. Что ещё делает не знаю.[/QUOTE]
ради интереса надо было снять образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
тогда будет проще анализировать, какие изменения внесены в систему.

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\SYSTEMHOST\24FC2AE3855.EXE
delall %SystemDrive%\SYSTEMHOST\24FC2AE3855.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\TROSHKIN\LOCAL SETTINGS\TEMP\7ZOB161.TMP\GREENCHRISTMASTREE.EXE
deltmp
delnfr
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

1. добавьте в следующее сообщение лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

2.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn 1ACA579B5583E88CF42B627DA804DEC9E946303A4536D3F3D1E7C9371CF2­75C9F163AA64FEDFD96D230444EA5097B3FA7CDFE8005B598DA8B03AA42F­B303CBA6 8 a variant of Win32/StaffCop
zoo %SystemRoot%\SYSWOW64\CSRSS_TC.EXE
delall %SystemRoot%\SYSWOW64\CSRSS_TC.EXE
chklst
delvir
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

удалите найденное в мбам, за исключением
[QUOTE]Обнаруженные файлы: 3
C:\WINDOWS\system32\Crypt.dll (Hacktool) -> Действие не было предпринято.
C:\WINDOWS\system32\oobe\AntiWPA_Crypt.dll (Hacktool) -> Действие не было предпринято.[/QUOTE]
далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

сделайте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

связано.

[QUOTE]Win32/Spyeye пытается собрать следующую информацию, которую затем отправляет на удаленный сервер:

Бот GUID (уникальный идентификатор, связанный с вредоносной программой)
Имя текущего пользователя
имя компьютера
Номер тома
Процесс имя, связанное с захваченных данных
Название перехваченной функции API (например PR_Write)
Нажатие клавиш
Другие сведения, относящиеся к компьютеру языка, такие как:
местное время
часовой пояс
Версия операционной системы
язык[/QUOTE]

по логу мбам,
удалите следующие объекты
[QUOTE]Обнаруженные параметры в реестре: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|YI9B2F0F2EXHZG2ZBMX (Trojan.SpyEyes.R) -> Параметры: C:\systemhost\24FC2AE39D4.exe -> Помещено в карантин и успешно удалено.

Объекты реестра обнаружены:  2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Expl­orer|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Помещено в карантин и успешно исправлено.
[/QUOTE]
далее,
выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/