сделайте образ автозапуска с помощью поиска руткитов по файлу сверки.
http://forum.esetnod32.ru/forum9/topic2729/

1. здесь надо создать в uVS файл сверки из под активной системы.

2. загрузиться с LIVE.CD, запустить uVS для исследования вашей системы с жесткого диска,
   и из uVS выполнить поиск скрытых файлов, и не закрывая uVS создать образ автозапуска.
----------
вот этот образ автозапуска и нужен будет для анализа скрытых в системе файлов.

[QUOTE]13.11.2012 17:35:05 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = svchost.exe(1032) вероятно модифицированный Win32/Sirefef.DT троянская программа очистка невозможна
13.11.2012 17:35:02 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = \GLOBAL??\e22fd8bc\Windows\$NtUninstallKB14995$\3794786492\Desktop.ini Win32/Sirefef.DN троянская программа очищен удалением
13.11.2012 2:10:59 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = \GLOBAL??\e22fd8bc\Windows\$NtUninstallKB14995$\3794786492\Desktop.ini Win32/Sirefef.DN троянская программа очищен удалением LENOVOG565\user [/QUOTE]
хм..
tdsskiller ничего не нашел
[QUOTE]18:19:02.0485 2992 ============================================================
18:19:02.0485 2992  Scan finished
18:19:02.0485 2992  ============================================================­
18:19:02.0516 2984  Detected object count: 2
18:19:02.0516 2984  Actual detected object count: 2
18:19:27.0818 2984  KMService ( UnsignedFile.Multi.Generic ) - skipped by user
18:19:27.0818 2984  KMService ( UnsignedFile.Multi.Generic ) - User select action: Skip
18:19:27.0820 2984  nlsX86cc ( UnsignedFile.Multi.Generic ) - skipped by user
18:19:27.0820 2984  nlsX86cc ( UnsignedFile.Multi.Generic ) - User select action: Skip
18:21:21.0965 1508  Deinitialize success
[/QUOTE]
образ сейчас еще раз проверю

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delref HTTP://WEBALTA.RU/SEARCH
deltmp
delnfr
delref HTTP://BROWSERHELP2.RU
regt 14
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL
exec C:\PROGRAM FILES\TICNO\TABS\UNINSTALL.EXE
exec C:\PROGRAM FILES\TICNO\MULTIBAR\UNINSTALL.EXE
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemRoot%\DFVBN.SYS
addsgn A76D8B9A556ACC01098C6DE98C2EEDFADA8EF9F288FA1E906CBCC5BC986E­F934AB10DA7E462DB4CD1CBD3C57FE9E31721381C66564A2C854A50F6C97­0FBEAA0B 8 Trojan.Hosts.4756 [DrWeb]
deltmp
delnfr
czoo
delref HTTP://WEBALTA.RU
exec C:\PROGRA~1\YAHOO!\COMMON\UNYPSR.EXE
exec C:\PROGRA~1\YAHOO!\COMMON\UNYT.EXE
sreg
delref %SystemRoot%\DFVBN.SYS
areg
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

сделайте все проверка здесь и сейчас, а не через неделю.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delref HTTP://BROWSERHELP2.RU
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\LSASS.EXE
deltmp
delnfr
regt 14
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\WMNZUQCDIV0.EXE
addsgn A7679B19B192CF9E2787F8E6A38C3625E76E51AE4EBE3B60402768E438B6­020F23E8D65FDE159DC46FA4A8160232557728DB001BA8254F8F6904E72F­66425130 8 Carberp.1112
bl F27D6C9525BCAFADDAFF0CA9F651F61F 196608
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\WMNZUQCDIV0.EXE
chklst
delvir
delref COPY
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
restart
czoo
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

выполните сканирование в малваребайт

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delref HTTP://WWW.YAHOO.COM
deltmp
delnfr
delall %SystemDrive%\DOCUMENTS AND SETTINGS\EKATRIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
regt 14
exec "C:\PROGRAM FILES\MCAFEE SECURITY SCAN\UNINSTALL.EXE"
exec C:\PROGRAM FILES\MCAFEE\SITEADVISOR\UNINSTALL.EXE
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

эту программу используете в работе? предоставляет возможность терминального доступа к системе.

[QUOTE]Полное имя C:\WINDOWS\SYSTEM32\BETWINSERVICEXP.EXE
Имя файла                   BETWINSERVICEXP.EXE
Тек. статус                 АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] [SAFE_MODE]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] [SAFE_MODE]
Размер                      261448 байт
Создан                      16.04.2012 в 12:07:33
Изменен                     16.04.2012 в 12:07:31
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               НАРУШЕНА, файл модифицирован или заражен
                           
Оригинальное имя            BeTwinService.exe
Версия файла                2.00 built by: WinDDK
Описание                    BeTwin Terminal Services
Производитель               ThinSoft Pte Ltd.
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись            Недействительна (файл поврежден/заражен)
                           
Доп. информация             на момент обновления списка
pid = 1516                  NT AUTHORITY\SYSTEM
CmdLine                     System32\BeTwinServiceXP.exe
Процесс создан              08:11:07 [2012.11.13]
С момента создания          01:38:22
parentid = 780              C:\WINDOWS\SYSTEM32\SERVICES.EXE
LISTEN                      0.0.0.0:3389
SHA1                        EE1395D69AE3F87D9772A5A02A33DC44562026DA
MD5                         6FD6AD11E81543D3B114B4EE7CC3C2E5
[/QUOTE]