[QUOTE]santy пишет:
выполняем скрипт в uVS

- скопировать содержимое кода в буфер обмена;

- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;

- закрываем все браузеры перед выполнением скрипта;

[CODE] ;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 1A30639A5583C58CF42B254E3143FE84C9A2FFF6895907AFC0C34CB14401­344CAA02D3807B5514542757C19FCF23412D38DF614F510DF52C4BFBB11F­10432215 8 tr.Carberp

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\IVASCHENKO\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\EUWC4YKAMRK.EXE
bl 126E47D43AD519E2CE9E56A697DCA9D7 314880
delall %SystemDrive%\DOCUMENTS AND SETTINGS\IVASCHENKO\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\EUWC4YKAMRK.EXE
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
CZOO
restart
[/CODE]

перезагрузка, пишем о старых и новых проблемах.

архив, из каталога uVS, созданный после скрипта (например: 2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  

------------

далее,

сделайте дополнительно  [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL] [/QUOTE]

Я уже полечил компьютер сам руками:
[CODE]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\IVASCHENKO\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\EUWC4YKAMRK.EXE
bl 126E47D43AD519E2CE9E56A697DCA9D7 314880
delall %SystemDrive%\DOCUMENTS AND SETTINGS\IVASCHENKO\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\EUWC4YKAMRK.EXE
deltmp
delnfr
CZOO
restart
[/CODE]
Файл ZOO.7z выслал на [email protected]
Сейчас само собой Ваш скрипт выполнится, но сигнатуры не добавятся zoo будет пустой.
Лог малваребайт уже прикреплен.
Рекомендации выполнил.

EAV-30714840
Еще один пользователь подцепил троян.
Проверьте пожалуйста не осталось ли хвостов.
И интересно знать, можно ли настроить антивирус так (например через политику),что бы таких проблем не возникало.

Спасибо огромное.

delall %SystemRoot%\SVCHOST.EXE - radmin переименовали дабы умные пользователи не убивали процесс.
Случайно удалил все из папки ZOO :( ,не сделав архив извините.
Прилагаю журнал malwarebytes.

EAV-********
Версия баз: 6848(20120201)
Очередной winlocker, причем процесс успешно убивается удаленно через taskkill, при этом после окно блокировки пропадает и после запуска explorer.exe все работает.
Лечение nod32 нешл только один из файлов %userprofile%\Local Settings\Temp\0.646122499103876.exe - Win32/Spy.Shiz.NCG троянская программа - очищен удалением - изолирован [1]
а файл %userprofile%\Local Settings\Temp\____991.exe не обнаруживает, точнее обнаруживал в памяти:

Level Critical Warning
Scanner Модуль сканирования файлов, исполняемых при запуск
Object файл
Name Оперативная память » %userprofile%\LOCALS~1\Temp\____991.exe
Threat модифицированный Win32/LockScreen.AGU троянская программа
Action очистка невозможна

Но потом я процесс убил, но файл остался и нод при проверки говорит что он чист, хотя в uvs он явно числится подозрительным:
Полное имя                  %userprofile%\LOCAL SETTINGS\TEMP\____991.EXE
Имя файла                   ____991.EXE
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      181588 байт
Создан                      02.02.2012 в 08:15:21
Изменен                     02.02.2012 в 08:15:21
Атрибуты                    СКРЫТЫЙ  
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            Проект1.exe
Версия файла                1.00
Описание                    The Book Provides An Integrated Treatment Of Continuous-Time And Discrete-Time Systems For Two Courses At Undergraduate Level Or One Course A
Продукт                     Toolbox is a MATLAB product for modeling, analyzing, and designing control systems. The functions in this toolbox implement classical and
Copyright                   Magazine publishes ...
Производитель               A control system is a device, or set of devices to manage, command, direct or regulate the behavior of other devices or system. There are two common classes of ...
Комментарий                 IEEE Xplore - Control Systems Magazine, IEEE  ieeexplore.ieee.org › Browse › Journals - ????????? ??? ????????  IEEE Control Systems Magazine is the official means of communication for the IEEE Control Systems Soci
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
SHA1                        D2FEDEC894C1F8C2AF9C3C9C7FB832EAF00FC1FF
MD5                         2F7199B36D78BCC164BD2ED64834EC85
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1264035209-2472686174-2146618077-31990\Software\Microsoft\Windows\CurrentVersion\Run\____991.exe
____991.exe                 %userprofile%\LOCALS~1\Temp\____991.exe
                           

Прикрепляю лог uvs.

Выкладываю лог uVS

[QUOTE]santy пишет:
по логу малваребайт:

удалите все, кроме тех файлов и объектов что принадлежат радмину.

-----

но вообще говоря, я бы переустановил нормальный радмин 2.2[/QUOTE]

Удалил все кроме радмина.
Зачем? Есть подозрение, что он заражен?
Еще что-то нужно?

[QUOTE]santy пишет:
закрыть браузер перед выполнением скипта.

выполнить скрипт в uVS  из буфера обмена .

[QUOTE];uVS v3.71 script [[URL=http://dsrt.dyndns.org]http://dsrt.dyndns.org[/URL]]



delall %SystemDrive%\DOCUMENTS AND SETTINGS\KURYNDINA\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL

delref [URL=HTTP://SEARCH.QIP.RU]HTTP://SEARCH.QIP.RU[/URL]

delref [URL=HTTP://SMS/]HTTP://SMS/[/URL]

delref [URL=HTTP://WWW.MRSK-1.RU]HTTP://WWW.MRSK-1.RU[/URL]

deltmp

delnfr

regt 5

regt 18

restart

[/QUOTE]

после перезагрузки сделайте лог малваребайт

[URL=http://forum.esetnod32.ru/forum9/topic682/]http://forum.esetnod32.ru/forum9/topic682/[/URL]



Carberp я так понимаю вы самостоятельно удалили.[/QUOTE]

Если имеется ввиду  файл %userprofile%\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE, то да, так ночная проверка нодом,нашла еще вот это:
C:\Program Files\pchd\PCHDPlayer.dll - модифицированный Win32/PornTool.PCHDPlay.A потенциально опасная программа - удален - изолирован
А так больше ничего.
Лог малваребайт готов.

[QUOTE]RP55 RP55 пишет:
[QUOTE]sanek922 пишет:

c:\windows\svchost.exe вот подозрительный проверь на вирустотал[/QUOTE]



Это: not-a-virus:RemoteAdmin.Win32.RAdmin.20



[URL=http://www.virustotal.com/file-scan/report.html?id=0425a758ee783e178f0e3259cd07f7ba41f6fcca1146631636613d247809345b-1317638879]http://www.virustotal.com/file-scan/r...1317638879[/URL]



Для эффективной проверки нужен

лог программы uVS

[URL=http://forum.esetnod32.ru/forum9/topic683/]http://forum.esetnod32.ru/forum9/topic683/[/URL][/QUOTE]лог uVS

EAV-30714840

Сначала возникла проблема при обновлении - 0% индикатор и не двигался при этом высокая загрузка процессора 100%

После перезагрузки обновление успешно прошло и антивирус нашел в памяти вирус Win32/TrojanDownloader.Carberp.AD - очистка невозможна.

Затем я нашел подозрительный скрытый файл "%userprofile%\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE" и послал его к вам через форму средствами самого антивируса. Что интересно антивирус на него никак не среагировал, хотя virustotal.com показал 10 совпадений со статусом malware.

Запустил создание лога на удаленной машине средствами SysInspector установленного антивируса. Процесс шел очень долго (началось в 16:24)поэтому через удаленный запуск uVS удалил подозрительный файл и все ссылки на него. Еще убрал тулбары из IE. Средствами антивируса на компе не удалось завершить создание лога sysinspector, запустил отдельно скаченный, он тоже тормозил, но потом все-таки завершил, вот прилагаю журнал.