Выполните скрипт из буфера обмена:
Выполнение скрипта:
http://forum.esetnod32.ru/forum9/topic2478/

[QUOTE];uVS v3.71 script [http://dsrt.dyndns.org]

zoo E:\AUTORUN.EXE
bl CA8DC97EB93427E4525FAEF8895C040C 33792
addsgn 1BFF7D9A55695C320B83EFE527875F2566A5BFDDA2C92D58D7B6AB9104BF­1C290364BA244A30F0670BA8E7B66655268A04AD81153DAE904E5457F756­A5675116 8 AUTORUN.EXE.Vir

delall E:\AUTORUN.EXE
zoo F:\AUTORUN.EXE
delall F:\AUTORUN.EXE
chklst
delvir
deltmp
delnfr
regt 1
regt 2
regt 3
regt 5
regt 15
regt 18
czoo
restart     [/QUOTE]

После выполнения пишем по результату !

[QUOTE]marshal64 пишет:
может, с последними апдейтами у них дело с этим получше, не знаю. [/QUOTE]
"Протезы изготавливали в подвале старого, покосившегося дома... "  :cry:  ;)
[QUOTE]marshal64 пишет:
В ряде случаев и обычный Dr.Web CureIt! может помочь.[/QUOTE]
Это только, для людей к крепкой психической организацией !

Кто бы мне ещё ответил почему !!!
Ну почему, нельзя работать с ЛОКАЛЬНОЙ базой проверенных файлов SHA1 !
Составить её из файлов операционных систем и таких стандартных программ, как: NET Framework 1,2,3.5,4;NVIDIA Windows Display Driver Installer; ATI RADION; Windows Live; Nero...
И прочих популярных программ.
Зачем тратить на анализ файла огромные вычислительные ресурсы - если можно проверить основные системные каталоги по SHA1 базе за 5 - 10 минут !
Время сканирования вполне реально сократить в 5-6 раз.
В принципе я об этом уже писал...
Однако, всё никак не внедряют...  :o   :)
uVS 371 работает с базой в 600.000 проверенных фалов - при весе в 12mb!
Не могу понять причины...
Dr.Web - так это просто необходимо!

Вы, об этом ?:
http://homenet.beeline.ru/index.php?showtopic=282132

Арвид

Дополнил примеры по uVS и частично переработал информацию.

Так, бывает что паразита ужу нету...
И доступа нет...
Можно пробовать выбрать диск через uVS

Это, далеко не всегда работает.
Total Commander  http://www.ghisler.com/
Far: http://farmanager.com/download.php?l=ru

Вы вирус вначале удалите!
Что касается восстановления - это уже после избавления от заразы.

1.Live СD от ESET
http://www.esetnod32.ru/.download/livecd/
* С подключёнными USB и выберете: "очистка файлов"

2.Если трафик не позволяет скачивать такие объёмы то:
Создайте лог в uVS
http://forum.esetnod32.ru/forum9/topic683/
*Скачать uVS - Запустить start.exe - и далее по инструкции.

Скачать uVS можно с rghost.ru
http://rghost.ru/20995991
( 1.5mb )

[QUOTE]Pepex пишет:
Pepex[/QUOTE]

mbam-log
Зараженные модули в памяти:
c:\WINDOWS\system32\rserver30\newtstop.dll (Backdoor.Bot) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Backdoor.Bot) -> Bad: (C:\WINDOWS\system32\rserver30\newtstop.dll) Good: () -> No action taken.

Файл newtstop.dll вызывает сомнение.
http://www.virustotal.com/file-scan/report.html?id=366265a83bd756cc1711055b9b7ba55f9ef1403f541e238c0d69efa84­b052fa1-1319047336
Смотрите сами, как с ним поступить.

Всё остальное - обнаруженное в логе mbam  удалите.

В остальном: активных вирусов не обнаружено. :)
-------------------------------------------------
Выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic751/
-------------------------------------------------
Кроме того, стоит проверить все машины в локальной сети - и установить на них обновления OC.

[QUOTE]Pepex пишет:
а что делает zoo %Sys32%\RSERVER30\NEWTSTOP.DLL оно мне радмина убьет?? или эта ДЛЛ к радмину не относится??[/QUOTE]
Относиться, но команда Zoo - просто снимает копию с файла для карантина.
Это в целях профилактической проверки.
Но можно и без неё. ( скрипт с перезагрузкой - это команда restart )
* После выполнения сделайте новый образ автозапуска.
+
сделайте дополнительно лог малваребайт
http://forum.esetnod32.ru/forum9/topic682/
пробный период для монитора игнорируйте, только сканер нужен.
[QUOTE]
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemRoot%\FGTHS.SYS
bl 53BAC9C10D479965FB348DE086559AED 47648
addsgn 943FA75B8D737FB56DE766709CC601CF43592E1F9405E08784C3C0B855D2­704C22FF9DD83E5577A2CD676278ACFDA3633BD90F2796D55AC7C69143C9­20ECC999 8  Win32/Rootkit.Kryptik.DP [NOD32]

chklst
delvir
zoo F:\GOLAC\\\\TORNADO.EXE
delall F:\GOLAC\\\\TORNADO.EXE
zoo GOLAC\\\TORNADO.EXЕ
delall GOLAC\\\TORNADO.EXЕ
deltmp
delnfr
regt 5
regt 18
czoo
restart

[/QUOTE]

Архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту [email protected], [email protected];
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infect

Для зачистки выполните скрипт №2

[QUOTE]
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %Sys32%\RSERVER30\NEWTSTOP.DLL

zoo %SystemRoot%\FGTHS.SYS
bl 53BAC9C10D479965FB348DE086559AED 47648
addsgn 943FA75B8D737FB56DE766709CC601CF43592E1F9405E08784C3C0B855D2­704C22FF9DD83E5577A2CD676278ACFDA3633BD90F2796D55AC7C69143C9­20ECC999 8  Win32/Rootkit.Kryptik.DP [NOD32]

chklst
delvir
zoo F:\GOLAC\\\\TORNADO.EXE
delall F:\GOLAC\\\\TORNADO.EXE
zoo GOLAC\\\TORNADO.EXЕ
delall GOLAC\\\TORNADO.EXЕ
deltmp
delnfr
regt 5
regt 18
czoo
restart

[/QUOTE]