В программе которую скачали выше, запускаем еще раз, только теперь Меню Скрипт выполнить скрипт находящийся в буфере обмена
И вставляем текст скрипта:

[CODE];uVS v3.72 script [http://dsrt.dyndns.org]

fixvbr C: 5
deltmp
delnfr
restart[/CODE]

И жмем выполнить. ПК перезагрузится.

Также создать и выложить лог - http://forum.esetnod32.ru/forum9/topic682/

В программе которую скачали выше, запускаем еще раз, только теперь Меню Скрипт выполнить скрипт находящийся в буфере обмена
И вставляем текст скрипта:

[CODE];uVS v3.72 script [http://dsrt.dyndns.org]

fixvbr C: 5
deltmp
delnfr
restart[/CODE]

И жмем выполнить. ПК перезагрузится.

Также создать и выложить лог - http://forum.esetnod32.ru/forum9/topic682/

[QUOTE]santy пишет:
вот такое состояние системы надо рассмотреть из под WinPe&uVS[/QUOTE]
нету пока такого счастья:)
[QUOTE]santy пишет:
используй Live.CD на базе WinPE 3.1 чтобы работала проверка по цифровому каталогу[/QUOTE]
встроенный uVS пару раз выдавал ошибку подключения реестра. запустил с этого же LiveCD версию 3.72, с третьей попытки подключился удачно к системе. делал файл сверки, ничего нового не дало

заново пришлось заразиться:) КИС и не пикнул. сделал образ автозапуска с LiveCD. в системе содержимое диска С все также прячется

Ну вы уже удалили все что можно:)
Еще вот это можно удалить:
[QUOTE]HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{1630669F-9D0C-4F0B-8AA9-10DE8BEE1755} (PUP.MultiSearchBox) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Ext\Stats\{1630669F-9D0C-4F0B-8AA9-10DE8BEE1755} (PUP.MultiSearchBox) -> Not selected for removal.[/QUOTE]
и новый лог mbam пожалуйста сделайте

[QUOTE]santy пишет:
То что Каспер не видит, ничего удивительного, нет в базах.[/QUOTE]
в том то и дело что есть. он при первом натравлении он выдал - Обнаружено: Trojan-Spy.Win32.Carberp.bnb
а потом уже тупо файл не видел как опасный
[QUOTE]santy пишет:
А содержимое проявляется обратно, после удаления Carberp?[/QUOTE]
ага. после ребута вернулось все на свои места
[QUOTE]santy пишет:
т.е. скрытие содержимого не за счет изменения атрибутов папок и файлов?[/QUOTE]
неа. они были скрыты как руткиты скрывают себя)

интересный мне экземпляр попался - спрятал всю инфу на системном размере. папки не скрыты, они просто не отображаются ни в каких ФМ. зато через командную строку можно увидеть:)
кстати, поставил KIS и обновил его базы - он сначала увидел Carberp, попытался вылечить, но неудачно. после этой попытке прямое натравление на IGFXTRAY.EXE ничего не давало - файл не заражен говорит  :D

Запускаем uVS еще раз, только теперь Меню Скрипт выполнить скрипт находящийся в буфере обмена
И вставляем текст скрипта
[B]ПЕРЕД ВЫПОЛНЕНИКМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ! [/B]

[CODE];uVS v3.72 script [http://dsrt.dyndns.org]

delref %SystemDrive%\DOCUMENTS AND SETTINGS\SKIF\APPLICATION DATA\LSASS.EXE
; C:\DOCUMENTS AND SETTINGS\SKIF\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
addsgn 79132211B9EBA0E608D4AE3A69C002442507ADD4006FF7867A3C9635C516­8DB3DC41F097B54095596A800D1A46E9B605F44ADC8FAA25E7A7B80F58D0­388FB737 8 CarberpNew

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\SKIF\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 757CE39F439D401BAA6281E741D824DD 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\SKIF\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delref %SystemDrive%\DOCUME~1\SKIF\LOCALS~1\TEMP\ESIHDRV.SYS
zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\ZTAEXT.PT3
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\ZTAEXT.PT3
regt 1
regt 2
regt 3
regt 7
regt 13
regt 14
regt 20
regt 18
regt 12
deltmp
delnfr
restart[/CODE]

И жмем выполнить. ПК перезагрузится.
В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда [email protected]
Также создать и выложить лог - http://forum.esetnod32.ru/forum9/topic682/
Пишем о старых и новых проблемах

такой лог пожалуйста изготовьте - http://forum.esetnod32.ru/forum9/topic2687/

это нормально. удалять не нужно. система чистая