[B]см. рекомендации в сообщении 7[/B]

[QUOTE]aleksr-9 пишет:
Обнаружил еще:
Оперативная память » explorer.exe(1168) - вероятно модифицированный  Win32/TrojanDownloader.Carberp.AF  троянская программа - очистка невозможна[/QUOTE]
загрузчик заражен модифицированным Carberp
https://www.virustotal.com/file/981740f9cd765e1f8f8eb6cacf4df7a4d272cda636a0a41319d­56a6508aea44c/analysis/1332055362/
[QUOTE]Полное имя IPL NTFS [C:]
Имя файла                   IPL NTFS [C:]
Тек. статус                 ?ВИРУС? ВИРУС загрузчик
                           
www.virustotal.com          Хэш НЕ найден на сервере.
www.virustotal.com          2012-03-18 [2012-03-18 07:22:42 UTC ( 1 minute ago )]
BitDefender                 Rootkit.MBR.Mayachok.B
AntiVir                     BOO/Cidox.C
                           
Сохраненная информация      на момент создания образа
Статус                      загрузчик
Размер                      7680 байт
                           
Доп. информация             на момент обновления списка
SHA1                        A53FE9E993D65A7F5DEE2BC6051C87322887A239
[/QUOTE]
в данном случае, скрипты uVS и скан в малваребайт не помогут
-------------
[B]выполните лечение в tdsskiler,[/B]
[QUOTE]Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.
[/QUOTE]перегрузите систему после лечения, и сделайте новый образ автозапуска в uvs.

лог чистый,
если проблема решена, выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\ПРОКОПИЙ\APPDATA\ROAMING\MICROSOFT\WINDO­WS\START MENU\PROGRAMS\STARTUP\ZTYCZ8WUA2C.EXE
addsgn A7679B1BB9D24D720B132B1D9A37ED05258AFC310C16E1877AC3C5BC5011­F430DDE83C333E559D8EAE687A60B91449FA7D18AD8A55DAB02CEAF214D1­38F92273 8 tr.Carberp

bl 7D22B2AF065EA614A2C134FB6F5C870C 312856
delall %SystemDrive%\USERS\ПРОКОПИЙ\APPDATA\ROAMING\MICROSOFT\WINDO­WS\START MENU\PROGRAMS\STARTUP\ZTYCZ8WUA2C.EXE
delall %SystemDrive%\PROGRAMDATA\SPM1IQBYDGGPE.DLL
chklst
delvir
deltmp
delnfr
EXEC cmd /c"netsh winsock reset catalog"
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]  
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus )
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]

это удалите в МБАМ,
[QUOTE]Обнаруженные файлы: 2
C:\Documents and Settings\Admin_Dreamer\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
[/QUOTE]
далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN_DREAMER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\T5QM0DDV36K.EXE
addsgn A7679B1BB9FA4C720B6EDEB164C811D74F8A94F6F547F31085768D783A92­1BDACBA4E9573ED6595DC308B09F4645C2E7599FAA7276023BFC47D0CEE2­AF069E5F 10 TrojanDownloader.Carberp.AF [NOD32]

bl 2620880125AEBFBC69946F68652C53EF 155136
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN_DREAMER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\T5QM0DDV36K.EXE
delall %SystemDrive%\DOCUME~1\ADMIN_~1\LOCALS~1\TEMP\____991.EXE
chklst
delvir
deltmp
delnfr
regt 12
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]  
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus )
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\МАКСИМ\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\YDELAZCBFCO.EXE
addsgn A7679B19B922F4F20BD4AEDBC2A01200987714DAA1FA1FFB41CB96D617BC­65A44325C357BD9195212B192B822E1695BE2237605955DA33E82521CE97­AD94CA78 8 a variant of Win32/Kryptik.ACBQ [NOD32]

zoo %SystemDrive%\SYSTEMHOST\24FC2AE325A.EXE
addsgn 988C1F92342A4C9AC1DAAEB1DB5C120525013B1E87F51F780CA62D37A45F­4F1ADC02F3377E5516073B0989D3D65649713BDB4B2AC59AB0A77B7F2D3A­9B966273 8 SpyEye

bl CFB1197957374A6DF30920A0D4248285 158208
delall %SystemDrive%\USERS\МАКСИМ\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\YDELAZCBFCO.EXE
delall %SystemDrive%\SYSTEMHOST\24FC2AE325A.EXE
chklst
delvir
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]  
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus )
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]

хорошо,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
тему закрываю.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 3AE0779AEC6A4E720B5542A566C812BD378AFCF6DAAC9C94814AC9980780­22CFCF134A7B1A7C5546AD78849F46AD3AA53DDFAB21641ABD1C98875B3A­C74D2D73 8 a variant of Win32/Kryptik.ACQN [NOD32]

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
bl 1372F294D7C1DA13E593FC3EFE7D49EC 24064
addsgn 9252773A176AC1CC0BA4534E3341F788B9AE7C3776052EB8D5FA19C9AB90­371F4BACC7533E021E8A2FD3ECACC81749ACFE1CEC21051DB32F2D75A4BF­5796B2E3 8 a variant of Win32/Kryptik.ABYE [NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\ZLJAJZ.EXE
bl 62697687B70E1C789933930C6A3F3A61 107520
addsgn 3AE0779AECE24D720B5542A566C812BD378AFCF6DBAA9C94814AF9980780­22CFCF134A7B1A7C5546AD80859F46A92E443DDFAF25642C0E1C98875BAE­1106697C 8 BackDoor.IRC.Bot.166 [DrWeb]

zoo %SystemRoot%\SADRIVE32.EXE
bl F8CAE6CECC506D0599912C3F9121E348 57344
addsgn 925277DA146AC1CC0B04504E3323193DAF8CBA7E8EBD1EA3F0C44EA2D338­8D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4­D985CC8F 8 Win32/SpamTool.Tedroo.AQ [NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\3B1.TMP
bl 4E42E1D48F2395BD565C2FA50AC2A0AE 125952
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\ZLJAJZ.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
delall %SystemRoot%\SADRIVE32.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\3B1.TMP
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\LLJAJL.EXE
delall E:\RECYCLER\S-51-9-25-3434476501-1644491933-602325628-1214\INSTM.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA

chklst
delvir
delall %SystemDrive%\PROGRAM FILES\PCHD\PCHDPLAYER.EXE
delref HTTP://SEARCH.QIP.RU
delref HTTP://WEBALTA.RU
delref HTTP://WWW.SMAXXI.BIZ
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2\MEDIAGET.EXE
deltmp
delnfr
regt 5
crimg
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]  
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus )

добавьте на форум новый образ автозапуска,
который был создан автоматически во время выполнения скрипта.
(с новой дата_время)
должен быть в папке с uVS

------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]

бывает,
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 988C1F92242A4C9A0DCEAEB1DB5C120525013B1EDBE01F780CA62D37A45F­4F1ADC02F7277E5516073B098913E65649713BDB4BEAF59AB0A77B7F2D3A­5BA66273 8 a variant of Win32/Injector.OZS [NOD32]

zoo %SystemDrive%\SYSTEMHOST\24FC2AE3B88.EXE
delall %SystemDrive%\SYSTEMHOST\24FC2AE3B88.EXE
chklst
delvir
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]