ок, выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
тема закрыта.

этот файл проверьте на http://virustotal.com
[QUOTE]Полное имя C:\PROGRAM FILES\\REALPLAY.EXE
Имя файла                   REALPLAY.EXE
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Инф. о файле                Синтаксическая ошибка в имени файла, имени папки или метке тома.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Доступ                      Отсутствует доступ к предположительно исполняемому файлу
[/QUOTE]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 BETA6 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
;OFFSGNSAVE
addsgn 1A515F9A55835B8CF42BFB3A8849FE2D268AFC55291A5E780CCE595C11D6­F859BBF78257B74809A96A800DAAD6F608FAF4E2649214DAD6A038CF446E­C760AE7E 8 Voltar.0915
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВИКТОРИЯ\APPLICATION DATA\TASKHOST.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВИКТОРИЯ\APPLICATION DATA\TASKHOST.EXE
addsgn 1A738365AAEB49416794AE5F3ED6128420B984B6892EE8648540C09CC396­7177A01253CC7E558E8E2EDBFEDF461649FA7D18EDF3D79AB02C2D77A41C­2ABC1B21 8 Shiz.0915
zoo %SystemRoot%\APPPATCH\LFPBWD.EXE
delall %SystemRoot%\APPPATCH\LFPBWD.EXE
delall D:\AUTORUN.INF
chklst
delvir
delref HTTP://BROWSERHELP2.RU
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
czoo
regt 5
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

удалитн найденное в мбам,
далее,
выполните наши рекомендаци
http://forum.esetnod32.ru/forum9/topic3998/

а что здесь смотреть?

вот условие Corkow
[IMG]http://s15.radikal.ru/i188/1209/f6/236cef634c9f.jpg[/IMG]

вот результат проверки образа с заражением Corkow
[IMG]http://i072.radikal.ru/1209/d2/a4d35f4a729e.jpg[/IMG]

при том, что первое условие выполняется, а второе нет.
значит в целом сложное условие не выполнено.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 BETA6 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0

;OFFSGNSAVE
delall %SystemDrive%\USERS\АМЕЛИЯ\0.5614015493815535.EXE
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 BETA6 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0
;OFFSGNSAVE
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://STARTRU.NET/?UTM_MEDIUM=IH&UTM_SOURCE=SK&UTM_CAMPAIGN=BP&UTM_CONTENT=11-06
delall %SystemDrive%\USERS\Z\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIA­N.EXE
deltmp
delnfr
delref HTTP://STARTRU.NET/?UTM_MEDIUM=FH&UTM_SOURCE=SK&UTM_CAMPAIGN=BP&UTM_CONTENT=11-06
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec "C:\PROGRAM FILES\VKSAVER\UNINSTALL.EXE"
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[QUOTE]RP55 RP55 пишет:
Ответил.[/QUOTE]
не знаю, кому ты ответил.
на мой вопрос из сообщения 142 ты не ответил.

1. сделайте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

2. сделайте образ автозапуска из безопасного режима системы [safe mode]

проверь еще раз мысль. с учетом комментария.