1. добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

2. добавьте образ автозапуска, полученный из безопасного режима системы [safe mode]

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[CODE];uVS v3.76 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
delall %SystemDrive%\USERS\KOT\APPDATA\LOCAL\TEMP\0.6739373934206679.EXE
delref %SystemDrive%\USERS\KOT\APPDATA\LOCAL\TEMP\0.7268568191366808.EXE
delall %SystemDrive%\USERS\KOT\APPDATA\LOCAL\TEMP\0.7268568191366808.EXE
delall %SystemDrive%\USERS\KOT\APPDATA\LOCAL\TEMP\0.8653937224785858.EXE
delall %SystemDrive%\USERS\KOT\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
delref HTTP://BROWSERHELP.RU
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
REGT 12
deltmp
delnfr
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn 480A589A553FC79E8838B676213C20E420343BB371C9FE7D3B3CD0A82094­712656E8D6574E179DCCEB8F0B8046164992FDDFE872AACFB45C6F772D6A­33F9377F 8 Carberp.0830
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VHD3KZ51PM8.EXE
bl 8AADDC62566844B6804F373F30E7E1B4 188928
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VHD3KZ51PM8.EXE
chklst
delvir
delref COPY
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
deltmp
delnfr
delhst 91.235.2.111 vk.com odnoklassniki.ru www.vk.com www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com m.odnoklassniki.ru
delhst 127.0.0.1 ok-anonimaizer.ru netdostupa.com adminimus.ru vhodilka.ru
delhst 127.0.0.1 spoolls.com jelya.ru antiblock.ru websplatt.ru dardan.ru cameleo.ru obhodilka.ru pinun.ru
delhst 127.0.0.1 v.vhodilka.ru o.vhodilka.ru raskruty.ru diazoom.ru razblokirovatdostup.ru anonim.ttu.su
delhst 127.0.0.1 anonimix.ru waitplay.ru nezayti.ru webmurk.ru vkanonim.ru dostupest.ru
delhst 127.0.0.1 urlbl.ru anonymizer.ru timp.ru workandtalk.ru dostyp.ru neklassniki.ru nemir.ru
delhst 127.0.0.1 localhost hellhead.ru anonimvk.ru anonim.do.am webvpn.org unboo.ru xy4-anonymizer.ru nekontakt2.ru
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

+ логи выполнения скриптов.

[B]Melihov,[/B]
+
добавьте из папки uVS все логи выполнения скриптов.
это текстовые файлы, небольшие по размеру,
формат имени файла - дата_времяlog.txt

рекомендации выполнили не полностью,java не обновлена до актуальной версии 6.34 или 7.06
-------
[CODE]Полное имя C:\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\W59SPQMUTN4.EXE
Имя файла                   W59SPQMUTN4.EXE
Тек. статус                 ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                                                 
Доп. информация             на момент обновления списка
SHA1                        D6A2E8FA076444EFEF3AEA712A7337F6EB561196
MD5                         92DBE02AA17D78E1FCB0AD850713ACA4
[/CODE]
и                                                
[CODE]Полное имя C:\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\W59SPQMUTN4.EXE
Имя файла                   W59SPQMUTN4.EXE
Тек. статус                 ВИРУС ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                                                   
Доп. информация             на момент обновления списка
SHA1                        4B94106E71F54156EB71FAFE885435C893B86BCA
MD5                         360C86621F5967CCD73422DFFDACFE89[/CODE]

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn 480A589A553FC79E8838B676213C20E420343BB371C9FE7D3B3CD0A82094­712656E8D6574E179DCCEB8F0B8046164992FDDFE872AACFB45C6F772D6A­33F9377F 8 Carberp.0830
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\W59SPQMUTN4.EXE
bl 360C86621F5967CCD73422DFFDACFE89 188928
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\W59SPQMUTN4.EXE
chklst
delvir
delref COPY
delref HTTP://XTEAM.IN/
deltmp
delnfr
regt 14
restart
czoo
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

да, все найденное в мбам надо удалить,
далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

раз все поудаляли, далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[CODE];uVS v3.76 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %Sys32%\ZANZXLD.DLL
delref %Sys32%\ZANZXLD.DLL
addsgn 1AB5609A55835A8CF42BFB3A8849FE2D268AFC55B9255E780CCEE96311D6­F8590BC88257B748B9966A800DAA66C908FAF4E2F4AD14DAD6A0383F7B6E­C760AE7E 8 Voltar.0830
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\TASKHOST.EXE
chklst
delvir
delref HTTP://BROWSERHELP2.RU
deltmp
delnfr
czoo
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/