Вот такое
!kill_os  
!kill_os  
!kill_os  
!kill_os  
!kill_os  
!new_config http://www.thisisupdatelinkexample.ru 60 1200
!kill_os  
!kill_os  
!kill_os  
!kill_os

А тебе зачем?

Интересуюсь

кто-то ботнет настроить нормально не смог

(2) Аааа, а я думал чего плохое задумал.....

как вариант

(3) содержимое знакомо ?
системы нет, и всех данных (восстановлено, но вопросы есть)

что это ?

(7) пока не знаю

% By submitting a query to RIPN's Whois Service
% you agree to abide by the following terms of use:
% http://www.ripn.net/about/servpol.html#3.2 (in Russian)
% http://www.ripn.net/about/en/servpol.html#3.2 (in English).

No entries found for the selected source(s).

Last updated on 2011.10.20 18:55:46 MSK/MSD

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

%ERROR:101: no entries found
%
% No entries found in the selected source(s).

(9) конечно... это ж образец, откуда упдейты брать

http://www.esetnod32.ru/.company/news/index.php?id=68643

Еще одной серьезной угрозой для российского региона является семейство троянских программ Win32/Shiz, также нацеленное на системы ДБО, которое помимо стандартного функционала для такого типа троянцев он имеет возможность предоставления SOCKS-прокси сервиса и команду бота !kill_os. При ее активации происходит перезапись первых секторов жесткого диска и удаление некоторых критичных компонентов для запуска операционной системы. Этот функционал также направлен на противодействие механизмам компьютерной криминалистике

не надо мне хуизов
в 3 ночи что то произошло, все слилось в системволюме (системное) но нет снапшотов, данных пользователя не стало и тех, что за профилем

(11) так, уже хуже (

http://www.computing.net/answers/security/has-anyone-seen-this-before/17368.html

первых секторов - каких ?
МФТ - как теперь вытаскивать, искать копии и куски ?

(15) думаю имеет смысл прогнать NOD32 по тому как они вроде знакомы с этой хренью

(16) что прогонять ? нечего прогонять !

(17) по идее у них должна быть утилита для востановлению

троян преднозначен для убивания активного противодействия и отслеживания владельца, по этому цель его вырубить все БЫСТРО на условно небольшое время,

по этому должно быть вполне востановимо

да сдуру из консоли восстановления запускал чекдиск

http://www.securelist.com/ru/descriptions/7580718/Backdoor.Win32.Shiz.ee

вообще хитрый зараза


--------------------------------------------
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файлы:
С:\temp_file_bin
%ProgramFiles%\Common Files\keylog.txt
%Temp%\<rnd2>.tmp
Где <rnd2> - случайный набор цифр и латинских букв, например, "D542".
Изменить значение ключа системного реестра на (как работать с реестром?):
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"=" C:\Windows\system32\userinit.exe,"

Для очистки таблицы маршрутов от записей для всех шлюзов выполнить команду в командной строке:
route.exe -f
Удалить ключи системного реестра (как работать с реестром?):
[HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\
List]"%System%\services.exe" = "%System%\services.exe :*:
Enabled:svchost"

[HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\
List]"<rnd2>:TCP" = "<rnd2>:TCP:*:Enabled:services.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"FileSystem"="\\?\globalroot\systemroot\system32\<rnd>.exe"

Удалить следующие параметры в системном реестре (как работать с реестром?):
[HKLM\Software\Microsoft]
"option_<цифра>"

Очистить каталог Temporary Internet Files:
%Temporary Internet Files%
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

могу только разве что файлы реестра поправить
усеринит это ладно, там же есть странный ключ cXXXXX содержит строку каля-маля

ни о каких роутах и прочей проверки речи нет - нечего роутить и проверять (пока) (

Антивирус надо ставить.

(23) на фиг он нужен ?

нужно не сидеть под админом и всё

(24) всегда возможно, но не всегда не лениво - вот один из трех попал (и я походу с ним встрял)

вопрос - где убирается "продолжение установки...", т.е. когда запустили с диска исправление и после перезагрузки первой идет продолжение установки ? (просьба не учить тому, что надо на копии делать)

эта  с у к а  еще все что могла прописала в
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
PendingFileRenameOperations

и свои и системные и практически все усерские файлы !

Как работать с реестром ?
А очень просто - знаем где живут его файлы (или в директории SYSTEM32\config или в папке профайла пользователя).
Далее, грузимся с USB-диска или другой системы.
Запускаем regedit.exe
Подключаем файл реестра через "Загрузить куст" в меню файл в какую-то точку и правим всё, что хочется.
P.S. по крайней мере я так удалённые дрова мыши и клавиатуры восстанавливал (после выноса их из HKLM\SYSTEM\ControlSet001 и т.д. - так что всё просто (но лучше этого не знать, так как вам всё равно придётся после вируса переставлять систему, но сделаете это вы один раз и сразу, чем несколько раз её оживлять, чтобы потом всё равно похоронить - но если вам надо восстановить программы, то без редактирования реестра вам явно не обойтись).
Удачи.

(28) Вы много букв пишете и все правильные, вот только система из сабжа работает вторые сутки после полного уничтожения, абсолютно без переустановки
для работоспособности системы достаточно иметь реестр и файлы активации, больше абсолютно ничего не требуется, ни единого файла (за исключением пользовательских доков и прочих бд), при чем даже для возобнавления работы скуль и прочих антивирусов так же не требуется ни установки и ни единого сохраненного файла (исключая опять же сами бд).