http://letitbit.net/download/1745.1a1fa2d1758f828c63850d508/RedCross.zip.html
знакомый делал у меня уже 2 года стоит …. пока ред кросс работает sality отдыхает)

Вирус имеет размер 36 КБ. Написан на языке C++.

При запуске зараженного файла:

вирус создает скрытый файл с таким же именем, присваивая ему расширение RNT и сохраняет туда свое тело. Запускает созданный файл на выполнение (см. пункт 2). В случае неудачи (например, если файл не был создан) производится инсталляция вируса в систему и запуск его фоновой работы.
В ходе выполнения RNT-файла вирус лечит и запускает исходный зараженный файл, после его выполнения — вновь инфицирует. После этого производится инсталляция вируса в систему и запуск его фоновой работы.

При выполнении тела вируса, он копирует себя в корневой каталог Windows с именем poserv.exe:

%WinDir%\poserv.exe

Для автоматического запуска при загрузке ОС, вирус определяет тип операционной системы. Если это Windows NT/2000/XP, то файл poserv.exe регистрируется как служба с именем «PO system service» и автоматическим запуском при каждой загрузке системы. Если тип операционной системы Windows 95/98, то файл poserv.exe регистрируется в ключе автозапуска системного реестра:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“PO system service”=”%WinDir%\poserv.exe”

Каждые 4 дня вирус отсылает электронное письмо своему «хозяину». В теле письма содержится следующая информация: имя компьютера, имя текущего пользователя, тип процессора, тип и версия ОС, установленный ServicePack и сохраненные нажатия клавиш из файла %WinDir%\logger.bin.

К письму прикрепляются данные из программы ICQ в том случае, если они присутствуют на компьютере.
Максимальный размер отправляемого письма — 2,5 МБ.

Поиск и инфицирование файлов происходит на протяжении всего срока фоновой работы вируса. Вирус находит файлы с расширениями EXE и DOC. При этом EXE-файлы заражаются. При обнаружении DOC-файла в том же каталоге создаётся файл с тем же именем и расширением EXE, куда записывается тело вируса, изменённое так, что файлу соответствует значок такой же, как и у документов MS Word 2000. Если такой файл уже существовал, он не изменяется.

При поиске файлов просматриваются все диски компьютера, начиная с последнего доступного для записи (напр. Z:, Y:, X: :C:) до диска C: включительно. Для каждого диска просматривается дерево каталогов до 12 уровня и в каждом каталоге ищутся файлы с расширениями DOC и EXE, размером между 10 КБ и 2 МБ включительно.

Поиск очередного файла для инфицирования осуществляется примерно через каждые 0,666 секунды.

При инфицировании EXE-файла вирус записывает своё тело (вместе со всеми заголовками) в начало файла. При этом тело вируса изменяется так, что полученному файлу соответствует тот же значок, что и оригинальному.

Не заражаются файлы при выполнении одного из условий:

- файл расположен в корневом каталоге Windows («%WinDir%»);
- размер файла делится на 100 без остатка;
- файл расположен в корневом каталоге;
- длина имени файла (без пути и расширения) меньше 3-х символов;
- файл создан менее часа назад;
- флаги в заголовке *.exe файла указывают, что это *.dll или системный файл. (2 байта со смещением 12h от начала PE заголовка (без сигнатуры ‘PE’,0,0) имеют одно из значений 1000h или 2000h);
- файл уже заражён этим вирусом (определяется по наличию сигнатуры ‘MZ’ на смещении в 36КБ от начала файла).

Рекомендации по удалению

1. Остановить службу с именем «PO system service» или завершить процесс с именем poserv.exe.
2. Удалить следующий ключ системного реестра:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“PO system service”=”%WinDir%\poserv.exe”
3. Удалить файл poserv.exe из корневого каталога Windows (%WinDir%).
4. Удалить EXE-файлы (вирус), при наличии одноименных файлов с расширением DOC (оригинал). При этом исключая EXE-файлы, созданные самим пользователем.
5. Удалить RNT-файлы (вирус), при наличии одноименных файлов с расширением EXE (инфицированный оригинал). При этом исключая RNT-файлы, созданные самим пользователем.

Нашел эту пресловутую службу PO system service отключил ее и в безопасном режиме проверил каждый диск в отдельности. Да, перед этим отключил восстановление системы и удалил все контрольные точки восстановления. Вроде уничтожил заразу.

Скрипт восстанавливает:
* Реестр:
- запуск командной строки (cmd.exe)
- редактирование реестра (regedit.exe)
- запуск диспетчер задач (taskmgr.exe)
- запуск оболочки (explorer.exe)
- открытие файлов (.exe и т.д.)
- свойства папки (показать скрытые файлы и т.д.)
* Файловая система:
- открытие дисков (удаляет autorun.inf в корне всех дисков)

скачать с депозита:
http://depositfiles.com/files/hiiwsi0yg

скачать с народа:
http://narod.ru/disk/15518709000/Restore_XP_after_virus.vbs.html