выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delall %SystemRoot%\APPPATCH\OIVTHBF.EXE
addsgn A7679B19B192CF9E2787F8E6A38C361DE76E51AE4EBE3B58402768E438B6­F90F23E8D65FCE159DC46FA4A01602325D7728DB004AA8254F8F69FFE72F­6642AA30 8 Carberp.1110
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ELJIPMPRXH4.EXE
bl B26A861EB99F3C4B95E2320341B2B0CB 195584
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ELJIPMPRXH4.EXE
chklst
delvir
delref COPY
delref HTTP://EROSHAL.UCOZ.RU
deltmp
delnfr
regt 14
regt 12
CZOO
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\НАСТЯ\APPDATA\LOCAL\TEMP\0.7594940535764958.EXE
addsgn 0DE1D7ED156AB3774A45EEB18CB0E7FADA09F93910BA1F1A086B6DBC50D6­C9016236C35EFB5CB0B050C0841C43B8C9BA7DD66977F9A4F02C5953A32F­4403ACF4 8 Shiz.1109
zoo %SystemDrive%\USERS\НАСТЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\KWIDU5SULLC.EXE
addsgn A7679BF0AA02E48A49D4C63145881261848AFCF689AA7BF1A0C3C5BC5055­9D24704194DE5BBDAE92A2DD78F544E95C5A4D9FE82BD6D7105669775BAC­CAA25837 8 Carberp.1109
bl C2AB1BBED09AFC4CBD7F8DA84BBBDF0C 191488
delall %SystemDrive%\USERS\НАСТЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\KWIDU5SULLC.EXE
chklst
delvir
deltmp
delnfr
czoo
regt 12
regt 14
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemRoot%\SVCHOST.COM
delall %SystemRoot%\SVCHOST.COM
EXEC cmd /c"reg add HKCR\exefile\shell\open\command /ve /d "\"%1\" %*" /f"
deltmp
delnfr
regt 1
regt 2
regt 5
regt 23
regt 18
CZOO
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

neshta у вас вроде как активен, но не опасен, поскольку размер файла 0байт
[QUOTE]Полное имя C:\WINDOWS\SVCHOST.COM
Имя файла                   SVCHOST.COM
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
www.virustotal.com          2012-11-09 [2006-09-18 07:26:15 UTC ( 6 years, 1 month ago )]
-                           Файл был чист на момент проверки.
                           
Удовлетворяет критериям    
_NESHTA                     ( ~ SVCHOST.COM "%1" %*)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      0 байт
Создан                      15.09.2012 в 21:39:27
Изменен                     05.11.2012 в 14:14:02
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Автозапуск                  Неизвестный файл использует ключ реестра часто используемый вирусами
                           
Доп. информация             на момент обновления списка
SHA1                        DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
MD5                         D41D8CD98F00B204E9800998ECF8427E
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Classes\exefile\shell\open\command\
NULL                        C:\WINDOWS\svchost.com "%1" %*
                           
[/QUOTE]
скрипт лечения проблемы будет ниже.

ага, значит ERA все таки установлен.
[QUOTE]era.exe 1948 TCP shprot-serv 2222 shprot-serv 0 LISTENING
era.exe 1948 TCP shprot-serv 2223 shprot-serv 0 LISTENING
era.exe 1948 TCP shprot-serv 2224 shprot-serv 0 LISTENING
[/QUOTE]
как зеркало раздается? через локальную папку или через встроенный http-сервер?

[QUOTE]TCP 2221 ( ERAS listening)
Default port used by the Mirror feature integrated in ERAS ( HTTP version)[/QUOTE]

пробуйте сделать образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

если start.exe не запустится, переименуйте в start.pif или start.cmd

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
addsgn 79132211B982F18DF42BF358AA32EDFAE946687089FA1F7885C3C5BC50D6­BFCB2317CBD33E5511CF2B80849F461649FA7DDF18F555DAB0A82D77A42F­C7062273 8 newdriver.1109
zoo %SystemRoot%\NNNUT.SYS
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
czoo
sreg
delref %SystemRoot%\NNNUT.SYS
areg
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

файловое заражение neshta в системе,
--------
пролечите систему с помощью ESET rescue
http://forum.esetnod32.ru/forum9/topic1966/
затем сделайте новый образ автозапуска

лог tcpview сделайте и добавьте сюда.