не нужно было делать полное сканирование, достаточно быстрого скана в малваребайт. это занимает несколько минут по времени.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn C12C42EF5B6A4C2780382D5D7C0F57E9176BF9484EBFEB4B64C67B4345C2­D10C23E8D6539E159DCCEB8F01B7461649901920FD7EF59AB0A9ED782B3E­C7062219 8 Carberp.0828
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\TWIESOB0HWQ.EXE
bl 47578D63160C9EF74EBDA51A38411492 185856
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\TWIESOB0HWQ.EXE
chklst
delvir
delref COPY
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
delref HTTP://SEARCH.QIP.RU
delref HTTP://WWW.SMAXI.NET
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
deltmp
delnfr
regt 14
CZOO
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

некоторые функции просто отлично реализованы
[IMG]http://s019.radikal.ru/i608/1208/a2/aa2472736a35.jpg[/IMG]

[IMG]http://s019.radikal.ru/i634/1208/dc/e93d6a367402.jpg[/IMG]

[QUOTE]FileAlyzer is a tool to analyze files – the name itself was initially just a typo of FileAnalyzer, but after a few days I decided to keep it. FileAlyzer allows a basic analysis of files (showing file properties and file contents in hex dump form) and is able to interpret common file contents like resources structures (like text, graphics, HTML, media and PE).

Using FileAlyzer is as simple as viewing the regular properties of a file – just right-click the file you want to analyze and choose Open in FileAlyzer.

[/QUOTE]http://www.safer-networking.org/dl/products/filealyzer/

полезная утилитка для анализа файла, добавлен поиск по хэшу на Вирустотал

обновилась до версии 2. (ранее был 1.6)

1. добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

2. добавьте образ автозапуска из безопасного режима системы [safe mode]

удалите найденное в мбам, кроме
[QUOTE]Объекты реестра обнаружены: 1
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
[/QUOTE]
если проблема не решилась, добавьте новый образ автозапуска.

neshta лечится и с eset_rescue, проверено на форумах,
системы с активным файловым заражением мы рекомендуем лечить с Live.CD

а другие антивирусы умеет делать то, что вы проделали вручную с рег файлом?

судя по первому образу был заражен загрузчик

[QUOTE]Полное имя MBR#0 [232,9GB]
Имя файла                   MBR#0 [232,9GB]
Тек. статус                 ?ВИРУС? ВИРУС загрузчик
                           
www.virustotal.com          Хэш НЕ найден на сервере.
www.virustotal.com          2012-08-27 [2012-08-27 08:30:16 UTC ( 2 minutes ago )]
[B]Avast MBR:Ransom-A [Rtk]
Kaspersky                   Trojan-Ransom.Boot.Mbro.d
BitDefender                 Rootkit.MBR.Locker.B
DrWeb                       Trojan.MBRlock.14
AntiVir                     BOO/Ransom.AB
Microsoft                   Trojan:DOS/Ransom.A[/B]
                           
Сохраненная информация      на момент создания образа
Статус                      загрузчик
Размер                      440 байт
                           
Доп. информация             на момент обновления списка
SHA1                        447F3FC53901C70C0AD577E580A1D56A8010FA6F                        
[/QUOTE]
сделайте новый образ в uVS для контроля.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

deltmp
delnfr
delref HTTP://SPEEDBAR.RU
delref HTTP://QIP.RU
delref HTTP://BERKUTS.RU/
fixmbr MBR#0 [232,9GB]
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/