этот файлик уже удалили?
[QUOTE]Полное имя C:\USERS\АНДРЕЙ\APPDATA\LOCAL\TEMP\937C31F.EXE
Имя файла                   937C31F.EXE
Тек. статус                 АКТИВНЫЙ ПРОВЕРЕННЫЙ
                           
www.virustotal.com          2012-09-24 [2009-12-21 11:05:57 UTC ( 2 years, 9 months ago )]
-                           Файл был чист на момент проверки.
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ
Процесс                     32-х битный
Размер                      3072 байт
Создан                      24.09.2012 в 10:28:28
Изменен                     24.09.2012 в 10:28:28
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            systray.exe
Версия файла                5.2.3790.1830 (srv03_sp1_rtm.050324-1447)
Описание                    Systray .exe stub
Производитель               Microsoft Corporation
[/QUOTE]

не мешает проверить его на virustotal.com

удалите все  найденное в мбам,
перегрузите систему
и еще раз выполните быстрое сканирование системы в мбам

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

;OFFSGNSAVE
addsgn 1A488365AAD159720BD42F6289DA03054E5196DF94CB6538854EB4AF79E3­F2D563178D7E0B8F37092B3D849F4616981FF61AC1775F7DF02CAC7299B6­8706355E 8 Shiz.0924

zoo %SystemRoot%\APPPATCH\FIWVBJ.EXE
delall %SystemRoot%\APPPATCH\FIWVBJ.EXE
chklst
delvir
deltmp
delnfr
regt 12
regt 14
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

к вашему сведению,
на официальном техническом форуме компании ESET
мы не оказываем помощь в лечении заражений,
пользователям, которые нарушают лицензионное соглашение

[QUOTE]"C:\Program Files (x86)\TNod User & Password Finder\TNODUP.exe" /i[/QUOTE]

тему закрываем,
обратитесь за помощью на другой форум.

1. похоже сайт eset.eu прекратил свое существование, поскольку с него идет редирект на eset.com

2. threat-энциклопедия, которая была на *.eu перемещена на virusradar.com
http://www.eset.eu/encyclopaedia/win32-corkow-a-trojan-yakes-goc

сравнить можно с описанием объекта в uVS

[QUOTE]Полное имя C:\USERS\ЮЛИАНА\APPDATA\ROAMING\MICROSOFT CORPORATION\SYSRCPL.RC3
Имя файла                   SYSRCPL.RC3
Тек. статус                 ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
_CORKOW                     (ССЫЛКА ~ CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\INPROCSERVER32\)(1)   AND   ( !~ STOBJECT.DLL)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      254464 байт
Создан                      02.10.2011 в 16:25:01
Изменен                     02.10.2011 в 16:25:01
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            QUtil.DLL
Версия файла                6.1.7601.17514 (win7sp1_rtm.101119-1850)
Описание                    Quarantine Utilities
Copyright                   © Microsoft Corporation. All rights reserved.
Производитель               Microsoft Corporation
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
Автозапуск                  Неизвестный файл использует ключ реестра часто используемый вирусами
                           
Доп. информация             на момент обновления списка
SHA1                        F0E0F1F5EC47AB1A67347388A4E9154C14E2E833
MD5                         FB3ED55942F1BA06FDE7B52ECFFD9E85
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-2229413025-3452629496-3526477641-1000_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\
[/QUOTE]

Например, что есть такое в инфо об объекте uVS, чего нет в описании данного зловреда из threat_encyclopaedia
http://www.virusradar.com/en/threat_encyclopaedia

[QUOTE]RP55 RP55 пишет:
Обновил базу проверенных.
[/QUOTE]
поскольку ты работаешь со множеством образов интересно будет как раз систематизация знаний по типовым заражениям.

ESET Uninstaller не спросит пароль, если вы имеете ввиду пароль к настройкам, если же пароль к обновлениям, спросите у владельца компа, или пусть сам настроит обновление после нормальной установки, если дело этим завершится.

пробуйте в безопасном режиме системы удалить продукты ESET используя EsetUninstaller
http://esetnod32.ru/.support/knowledge_base/solution/?IBLOCK_ID=53&SECTION_ID=413&ELEMENT_ID=6823

после удаления, сразу не ставьте антивир, а сделайте лог Eset Sysinspector

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/