тогда папку ZOO (если не пустая) заархивируйте с паролем infected и вышлите в почту

если лог мбам будет чистый,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[CODE];uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
addsgn A7679B19B9728B37E74A484A0C0F57F1B86C079E76EF1FF8C5C348F9B85F­34BCAE42C7BFA1BB62B688B837DF46B771493DDF633251799C9F6D770517­744622F8 8 dork.1027

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\1C40.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\49B8.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\5002.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\6410.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\6843.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\7020.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\7628.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\7E25.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\8804.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\8C77.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\99FE.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\B8F7.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\C5B6.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\CB1D.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\CE46.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\E4A4.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\E6A6.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\F1B2.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\F49B.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\FC59.EXE
adddir %SystemDrive%\USERS\USER\APPDATA\ROAMING
chklst
delvir
deltmp
delnfr
CZOO
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

выполните в uVS скрипт из сообщения 26. все будет понятно походу. там образ автоматически создастся и запишется в папку с uVS

[QUOTE]Psi21 пишет:
microsoft антивирус сказал всё норм, а MBAW ругается[/QUOTE]
[QUOTE]Полное имя C:\PROGRAMDATA\WXDFAST\BHOCLASS.DLL
Имя файла BHOCLASS.DLL
Тек. статус ?ВИРУС? в автозапуске

www.virustotal.com 2012-10-21 [2012-04-05 19:06:28 UTC ( 6 months, 3 weeks ago )]
[B]Avast Win32:MultiPlug-K [PUP]
DrWeb Adware.Bho.3850[/B]

Сохраненная информация на момент создания образа
Статус в автозапуске
Размер 140800 байт
Создан 19.07.2012 в 16:09:49
Изменен 19.07.2012 в 16:09:07
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

[/QUOTE]
выполните сейчас данный выше скрипт для контроля.

после скрипта Арвида, выполните еще такое:
----------
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
delall %SystemDrive%\PROGRAMDATA\WXDFAST\BHOCLASS.DLL
adddir %SystemDrive%\USERS\USER\APPDATA\ROAMING
crimg
[/code]
без перезагрузки, добавьте образ автозапуска, который будет создан автоматически
------------

этот файл еще проверьте, хотя к Dorkbot вряд ли имеет отношение. Adware.
[QUOTE]C:\PROGRAMDATA\WXDFAST\BHOCLASS.DLL[/QUOTE]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
delref HTTP://QIP.RU
delref HTTP://WEBALTA.RU/SEARCH
delref HTTP://WWW.SMAXI.NET
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

сделайте новый образ автзапуска,