удалите 2 хвоста от вируса (последние 2 файла) и выполните рекомендации с этой страницы - http://forum.esetnod32.ru/forum9/topic751/

[b]Crash347,[/b]
не удивительно что статья не помогла, тут еще загрузчик заражен :)

Запускаем uVS еще раз, только теперь Меню Скрипт - Выполнить скрипт находящийся в буфере обмена
И вставляем текст скрипта
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!

[CODE];uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\USERS\ALEKSANDR\APPDATA\ROAMING\MICROSOFT\WIND­OWS\START MENU\PROGRAMS\STARTUP\IGFXTRAY.EXE
bl F305479311A5BD9A68F07F16B96A82A3 21814
delall %SystemDrive%\USERS\ALEKSANDR\APPDATA\ROAMING\MICROSOFT\WIND­OWS\START MENU\PROGRAMS\STARTUP\IGFXTRAY.EXE
fixvbr C: 6
deltmp
delnfr
restart[/CODE]

И жмем выполнить. ПК перезагрузится.
В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать на адрес [email protected]
После перезагрузки сделать такой лог malwarebytes - http://forum.esetnod32.ru/forum9/topic682/ и выложить сюда

[URL=http://forum.esetnod32.ru/forum9/topic3089/]Как избавить от вируса Carberp[/URL]
Для начала пойдет  :)

Итак, если у вас завелся Carberp и антивирус информирует об этом, есть способ избавиться от него с помощью антивируса от ESET.
[URL=http://s017.radikal.ru/i420/1112/f6/4df9e0b53430.png][IMG]http://s017.radikal.ru/i420/1112/f6/4df9e0b53430t.jpg[/IMG][/URL]
Для начала надо убедиться что вирус запускается уже в ОС, а не до нее, в загрузочном секторе.
Для этого открываем окно антивируса - [B]Сканирование ПК[/B] и выбираем [B]Выборочное сканирование[/B]:
[URL=http://s007.radikal.ru/i302/1112/f7/320fc690e369.png][IMG]http://s007.radikal.ru/i302/1112/f7/320fc690e369t.jpg[/IMG][/URL]
Затем жмем [B]Настройка[/B] - [B]Очистка[/B] и выбираем Уровень очистки на максимум - [B]Тщательная очистка[/B]
[URL=http://radikal.ru/F/s017.radikal.ru/i442/1112/db/970a937c70e6.png.html][IMG]http://s017.radikal.ru/i442/1112/db/970a937c70e6t.jpg[/IMG][/URL]
[URL=http://s007.radikal.ru/i302/1112/ac/2322d2c87016.png][IMG]http://s007.radikal.ru/i302/1112/ac/2322d2c87016t.jpg[/IMG][/URL]
Далее выбираем у каждого вашего раздела [B]Загрузочный сектор[/B] и жмем [B]Сканировать[/B]
[URL=http://s017.radikal.ru/i427/1112/59/8e243b2610e0.png][IMG]http://s017.radikal.ru/i427/1112/59/8e243b2610e0t.jpg[/IMG][/URL]
Если антивирус ничего не нашел, то радуемся и переходим к следующему шагу:
Также заходим в [B]Выборочное сканирование[/B] и выбираем каталог для проверки и нажимаем на Сканирование (галочку на Сканировать без очистки не ставить :))
[QUOTE]для ХР - C:\Documents and Settings\[B]Имя вашего профиля[/B]\Главное меню\Программы\Автозагрузка
для Vista, 7 - c:\Users\[B]Имя вашего профиля[/B]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\[/QUOTE]
[URL=http://s017.radikal.ru/i441/1112/0c/0eeae7a0a020.png][IMG]http://s017.radikal.ru/i441/1112/0c/0eeae7a0a020t.jpg[/IMG][/URL][URL=http://s49.radikal.ru/i125/1112/38/7b5efdba0766.png][IMG]http://s49.radikal.ru/i125/1112/38/7b5efdba0766t.jpg[/IMG][/URL]
Теперь жмем на [B]Показать сканирование и журнал в отдельном окне[/B]:
[URL=http://s50.radikal.ru/i130/1112/46/9ffa775f7f42.png][IMG]http://s50.radikal.ru/i130/1112/46/9ffa775f7f42t.jpg[/IMG][/URL]
Где должны увидеть вот такое сообщение:
[URL=http://s017.radikal.ru/i418/1112/79/6651c4724375.png][IMG]http://s017.radikal.ru/i418/1112/79/6651c4724375t.jpg[/IMG][/URL]
Если антивирус предложит перезагрузку для удаления вируса - сразу жмите [B]Да[/B]. Если не предложит - все равно перезагрузитесь :)
[URL=http://s47.radikal.ru/i115/1112/fd/ba20de9539d6.png][IMG]http://s47.radikal.ru/i115/1112/fd/ba20de9539d6t.jpg[/IMG][/URL]
На этом все. Теперь можете почистить хвосты после вируса - это могут быть папки в корне системного раздела с рандомным именем, например - 2gPzm53eSx3wen4, zLx64TLcqaKlCIo, 4VlJRUKP0ZewDln и т.п.
А также файлы:
[QUOTE]c:\WINDОWS\system32\iеunitdrf.inf
c:\Users\Имя пользовaтеля\AppData\Roaming\igfxtray.dat
с:\Documents and Settings\Имя пользовaтеля\Application Data\igfxtray.dat [/QUOTE]
Если в сканировании ничего не нашлось, значит у антивируса базы обновлений не актуальны и этот экземпляр вируса он просто не видит. Пробуем обновить базы у антивируса и повторяем процедуру. Если ничего не выходит - делаем лог программой uVS ([URL=http://forum.esetnod32.ru/forum9/topic2687/]инструкция[/URL]) и создаем новую тему в [URL=http://forum.esetnod32.ru/forum6/]этой[/URL] категории форума, где Вам обязательно помогут ;)

нет, антивирус спокойно обновляет при активном вирусу. ни разу не было проблем с обновлением. Carberp этому не мешает

в принципе обобщать нечего - главное чтобы Нод сигнатурно определял эту модификацию, тогда он справится.
сейчас напишу

Да, получилось после обновления удалить вирус через сканирование папки. Сканирование памяти не дает ничего. Может небольшой мануал со скринами накидать? :)

Кстати, сегодня запускал виртуалку, которую около недели не запускал. Там был не вылеченный Carberp, который виделся Нодом сигнатурно на тот момент. Запустил машину, сразу не понял что трафик побежал, через минуту отключил там сеть. Carberp потратил около 1 мб трафика. После этого он модифицировался - изменился размер программы, имя. Нод уже его не видел как вирус (базы не свежие были), но видел как угрозу в памяти. Удалить сканированием этот экземпляр не получилось. Сейчас обновлюсь и попробую также удалить как и в прошлый раз.
Кстати, модификация AD

Заходим в антивирус, переходим в дополнительные настройки (клавиша F5), раздел Обновление-Обновление и жмем Очистить кэш обновлений. Пробуем обновиться

удалите все что нашла программа кроме этого:
[QUOTE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.[/QUOTE]
затем перезагрузитесь и попробуй обновить антивирус