выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[CODE];uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
deltmp
delnfr
CEXEC cmd /c"ipconfig /flushdns"
CEXEC cmd /c"ping vk.com"
CEXEC cmd /c"tracert vk.com"
crimg
[/CODE]
без перезагрузки, добавьте новый образ автозапуска, который будет создан автоматически
------------

[B]Hidden File System Reader tool[/B]

Implementing hidden storage makes forensic analysis more difficult since:

   Malicious files are not stored in the file system (difficult to extract)
   Hidden storage cannot be decrypted without malware analysis
   Typical forensic tools do not work out of the box

To tackle the problem of retrieving the contents of the hidden storage areas one needs to perform malware analysis and reconstruct algorithms used to handle the data stored inside it. In the course of our research into complex threats we have developed a tool intended to recover the contents of hidden storage used by such complex threats as:

   TDL3 and modifications
   TDL4 and modifications
   Olmasco
   Rovnix.A
   Rovnix.B
   Sirefef (ZeroAccess)
   Goblin (XPAJ)
   Flame (dump decrypted resource section)

The tool is very useful in incident response and threat analysis and monitoring. It is able to dump the malware’s hidden storage, as well as to dump any desired range of sectors of the hard drive. In the next figure a screenshot of the tool’s output is presented:

http://blog.eset.com/2012/10/11/defeating-anti-forensics-in-contemporary-complex-threats

[QUOTE]mike 1 пишет:
santy Да я слышал о таком зловреде, но с ним еще не доводилось сталкиваться. Вообще уж лучше пускай лечит зловреда чем он будет видеть его, но ничего с ним не сможет сделать.[/QUOTE]
дак портал ВирусИнфо знает о нем не понаслышке. Юзеры же могут думать по другому - они откатывают систему в состояние, когда кнопка Пуск работала. Пусть уж лучше побуду с вирусом, чем с покалеченной системой. примерно так. так что Касперский нарисовал себе 100% и спокоен. всех победили. Большая ложь всегда начинается с малой неправды.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\EOOELRR.EXE
addsgn 7BC9DF8B156AF3127597AE80A471727B668AD50F7509B5E35E20952789EA­55D7A31BE768E779B911950096DF46A9C1E83DDFD18523DC4C81D2A74FD9­AD07CAB2 8 smallHTTP
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\EOOELRR.EXE
chklst
delvir
delref COPY
deltmp
delnfr
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
regt 14
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[B]mike_1[/B], 100% Касперского - это явная погонка, дальше как говорится расти некуда. А расти есть куда. В июле-августе мы все видели как лечит Касперский бэкдор crexv. (полно на форумах подобных тем), как после сканирования Касперским, или AVPtool перестает работать Пуск. И это продолжалось бы бесконечно, если бы не усилия энтузиастов.
-------------
до сих пор приходят юзеры, у которых не работает Пуск. Система вылечена антивирусом Касперским.

1. зайти в безопасный режим.
http://forum.esetnod32.ru/forum9/topic5917/

2. сделать образ автозапуска.
http://forum.esetnod32.ru/forum9/topic2687/

я так понимаю, две рекомендации в одном сообщении  - это многовато для вас выходит.

это не лог сканирования. это лог выполнения скрипта называется.
----------------

сделайте еще раз образ автозапуска в безопасном режиме системы

сделайте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

не вижу лог сканирования.

[QUOTE]по журналу угроз
12.10.2012 10:53:09 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » userinit.exe(2796) модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна CAMARO\777 [/QUOTE]

сделайте еще раз образ автозапуска в безопасном режиме системы
образ залить на обмен, ссылку на образ добавить сюда.