Вопросов много по настройкам Startup scanner, поскольку этот модуль или режим влияет на производительность и правильную работу антивируса.

Что именно (какие объекты) перепроверяет данный сканер после обновления? Судя по конфигурации в редакторе ERA объектами проверки могут быть:
файлы, архивы, самораскрывающиеся архивы, упаковщики, оперативная память, загрузочные сектора, электронные сообщения.

Как оптимально настроить работу Starup scanner в планировщике, в конфигурации, чтобы данный режим не значительно влиял на производительность системы, или не приводил к сбоям в работе (например - блокированию почты и инета).

Какие дополнительные настройки антивируса могут влиять на оптимальную работу startup scanner?

Как лечить файловый вирус?

Перед выполнением лечения в любом случае необходимо:
* Отключить восстановление системы.
* Если компьютер подключен к локальной сети, то на время лечения отключить его.

В настоящее время эффективны следующие варианты лечения файловых вирусов:

1) используем сканер, предварительно записанный  на на CD или DVD на другой_чистом системе. Сделайте полную проверку "больного" в режиме Safe Mode, затем в нормальном.


2) Второй способ предполагает наличие здорового компьютера с установленным антивирусом. EAV\ESS.  
Желательно, все таки убедиться, что варианты данного файлового вируса корректно излечиваются указанным антивирусом с текущими антивирусными базами. Антивирусные базы должны быть самыми свежими. Достаньте жесткий диск "зараженного" компьютера и подключите к "здоровому". Запустите полную проверку антивирусом. По окончании проверки\лечения верните диск на место.

3. используем загрузочные диски с установленным антивирусом, и обновленными антивирусными базами.
Eset Sysrescue вы можете создать на чистой системе с установленной 4 версией EAV/ESS и  установленным приложением Windows AIK (The Windows Automated Installation Kit)
Бесплатные загрузочные диски от других компаний (например: DrWeb, Avira, VBA32) вы можете скачать с официальных сайтов, и записать на CD или DVD на другой_чистой системе.

Скачать http://download.bleepingcomputer.com/sUBs/ComboFix.exe

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe*, когда процесс завершится, C:\ComboFix.txt прикрепите к сообщению (или запакуйте C:\ComboFix.txt и прикрепите к сообщению).
Примечание: в случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[I]*)При запуске Combofix проверит наличие установленной консоли восстановления. Если у Вас установленная консоль восстановления отсутствует, Вы будете об этом проинформированы и Вам будет предложено, установить её перед дальнейшими действиями с Combofix.
Дополнительную информaцию о консоли восстановления Вы можете получить на страницах портала Microsoft: http://support.microsoft.com/kb/314058/ru[/I]

Скачайте утилиту gmer с оф. сайта, отсюда
http://www2.gmer.net/gmer.zip

распаковать архив, запустить gmer.exe,

выполнить сканирование системы, как показано на рисунке,

[IMG]http://s019.radikal.ru/i605/1205/11/2f8f47f813d0.jpg[/IMG]

после завершения сканирования запостить лог на форум, в вашу тему.

[COLOR=#FF3300]обратите внимание[/COLOR],
что[COLOR=#0000FF] [FONT=Arial]текст с выделенным синим шрифтом[/FONT][/COLOR] в данной инструкции (под спойлером) содержит рекомендации по работе с загрузочными дисками WinPe&uVS (или другие) если используете его для лечения системы от винлокеров, mbr-локеров, рекламных банеров, блокирующих доступ к рабочему столу, или скрытых вредоносных сервисов (руткитов).

При лечении обычных заражений данные рекомендации можно пропустить.

скачайте архив с программой [B]uVS[/B] с [URL=http://dsrt.dyndns.org:8888/files/uvs_v412.zip][B]оф. сайта разработчика[/B][/URL]

*** или со страницы, которую укажет вам хелпер.

Скрытый текст

[COLOR=#0000FF][FONT=Arial][B]В случае заражения MBR, win-блокерами[/B], рекламными баннерами, и при невозможности получить доступ к рабочему столу, или командной строке в нормальном и безопасном режиме, используйте загрузочные диски Winpe&uVS (или другие). (в дальнейшем в инструкции для случая заражения винлокерами или заражения MBR будут указаны шаги работы с uVS применительно к загрузочному диску WinPe&uVS). [B]URL загрузки диска будет указан вам хелпером[/B][/FONT]. [/COLOR]

далее,
необходимо [B]распаковать_разархивировать[/B] архив с программой в отдельную папку, и

Скрытый текст

[COLOR=#0000FF][FONT=Arial](в случае лечения системы от баннеров и блокеров, необходимо загруженный образ winpe&uVS.iso записать на CD диск или флэшку с помощью, например, программы [B]Ultraiso[/B] на чистой системе, далее, переместиться к зараженной блокером системе, при загрузке системы войти в BIOS (F2, Del или др. клавиши), в меню BOOT временно установить приоритет загрузки системы с CD или USB в случае флэшки, вставить CD диск, или флэшку, сохранить измененные параметры BIOS, выйти из BIOS и перегрузить систему.)[/FONT] [/COLOR]

1. запускаем стартовый файл [B][U]start.exe[/U][/B], (или ту, программу, которую укажет вам хелпер),
[COLOR=#0000FF][FONT=Arial]( в случае лечения системы от винлокеров или баннеров, стартовый файл uVS стартует автоматически при загрузке WinPe.)[/FONT][/COLOR]
[IMG]https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=118883&width=500&height=500[/IMG]

2. Пропускаем п.2, если исследуете активную систему. Она уже автоматически выбрана.

Скрытый текст
[COLOR=#0000FF][FONT=Arial] выбираем каталог Windows для анализа автозапуска вашей системы. Используйте диалог выбора каталога Windows (нажать Enter и выбрать из дерева каталогов системную папку) в том случае, если исследуемая система неактивна и находится на присоединенном физическом диске или не основном логическом разделе, или если вы стартовали uVS с загрузочного диска[/FONT][/COLOR].

3. выбираем пользователя: (текущий пользователь - если вы админ в исследуемой системе, [COLOR=#0000FF][FONT=Arial]или если вы загружаетесь с диска WinPe&uVS[/FONT][/COLOR]; LocalSystem – имеем максимальные права в системе, если доступен данный выбор, но при этом не будет доступа к сети; другой пользователь – если необходимо исследовать систему из под другой учетной записью.)

после определения режима запуска загружается основной модуль программы для исследования вашей системы. Ожидаем завершения автоматических проверок списка автозапуска.

4. в главном меню программы выбираете пункт: файл - сохранить полный образ автозапуска,

[IMG]https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=118884&width=500&height=500[/IMG]

5. указываем имя файла образа, например, производное от имени компьютера_текущей даты_текущего времени.txt, которое автоматически предлагает для данного файла программа uVS. /Например: 1-ПК_2011-07-19_11-53-45.txt/ Если в вашей системе установлены программы Winrar или 7zip то автоматически файл образа автозапуска будет добавлен в архив с таким же именем и расширением rar или 7z. При этом размер файла образа в архиве уменьшается практически в 10раз и составляет примерно 200-300кб; [COLOR=#0000FF][FONT=Arial]в случае сохранения образа автозапуска выбранной системы из под WinPe&uVS сохраните указанный файл на съемный диск, для последующей передачи хелперам.[/FONT][/COLOR]

6. ожидаем завершения операции сохранения, затем выходим из программы uVS (или сворачиваем временно окно программы и ожидаем скрипт лечения)
[COLOR=#0000FF][FONT=Arial]При создании образа автозапуска из под WinPe&uVS будет автоматически установлен и запущен каталог цифровых подписей проверяемой системы. [/FONT][/COLOR]

7. добавляем в окне файлового менеджера или проводнике созданный файл автозапуска в архив, если архив не был создан автоматически.

8. переходим на форум, прикрепляем созданный архив к сообщению в вашей теме.

9. ожидаем анализа автозапуска хелперами, получение рекомендаций и скриптов лечения.
-----------

[FONT=Times][url=http://dsrt.dyndns.org:8888/files/uvs_v412.zip][B]следите за текущей версией uVS[/B][/url], на момент создания лога(образа автозапуска) желательно чтобы на Вашем компьютере [COLOR=#0000FF](или на загрузочном диске WinPe&uVS)[/COLOR] вы имели текущую версию программы uVS. Поскольку uVS постоянно развивается и автор программы добавляет новые скриптовые команды, которые не будут выполняться на старых версиях uVS.[/FONT]

ZloyDi, и всем, кто участвует в темах по лечению заражений посетителей форума....

вопрос: какими инструментами (антивирусными и диагностическими) удобнее всего лечить заражения в разных случаях?

комбинации: HJ, malwarebytes, uVS, gmer, combofix, sysinspector,.... (неназванные - добавить)
---
пожалуйста, не разводим флейм в темах по лечению, только рекомендации, скрипты лечения, линки проверок файлов на virustotal и других... т.е. помогаем тому что лечит, а не отвлекаем...

вторая ветка:
[quote]
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon ]
"shell"="Explorer.exe, C:\\Program Files\\Common Files\\Microsoft Shared\\mssoft.exe"
[/quote]
основная ветка:
[quote]
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
...
...
"LegalNoticeCaption"=""
"LegalNoticeText"=""
"PowerdownAfterShutdown"="0"
"ReportBootOk"="1"
"Shell"="Explorer.exe, C:\\Program Files\\Common Files\\Microsoft Shared\\mssoft.exe"
"ShutdownWithoutLogon"="0"
"System"=""
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
...
[/quote]

удобный загрузчик файлов из контекстного меню для проверки файлов на Virustotal.

http://www.virustotal.com/ru/metodos.html

11 мая, 2010

Программа:
ESET Smart Security 4.2.40.0, возможно другие версии
ESET NOD32 Antivirus 4.2.42.0, возможно другие версии

Опасность: Низкая

Наличие эксплоита: Да

Описание:
Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании приложения.

Уязвимость существует из-за ошибки при обработке LZH архивов. Удаленный пользователь может с помощью специально сформированного LZH архива вызвать зависание системы.

URL производителя: esetnod32.ru

Решение: Способов устранения уязвимости не существует в настоящее время.

http://www.securitylab.ru/vulnerability/393693.php

[B]uVS предназначен для упрощения процесса борьбы с неизвестными вирусами/троянами/руткитами как непосредственно в зараженном Windows так и для лечения неактивных и удаленных систем с коррекцией реестра.[/B]

uVS НЕ является заменой антивируса, соотв. нужен он лишь в том случае если ваш любимый антивирус не может очистить систему от зловредов.

uVS обладает рядом уникальных функций:

- Автоизвлечение сигнатур из указанных файлов (без активного участия пользователя),
- ведение пользовательской базы сигнатур вирусов,
- автоопределение файловых вирусов, работа с неактивными системами,
- работа с удаленными машинами,
- возможность создания и загрузки образа автозапуска,
- автогенерация скриптов для лечения,
- дефрагментация и восстановление реестра,
- обнаружение скрытого автозапуска,
- высокая скорость работы и мгновенная фильтрация представляемой информации об элементах автозапуска.

С версии 2.60 добавлена возможность запуска на чистом рабочем столе для успешного уничтожения всевозможных рекламно-вымогательных окон.

http://soft.oszone.net/program/8729/Universal_Virus_Sniffer_uVS/