варианты такие:
1. найти съемный CD-ROOM;
2. если не ноут, проверить на чистой машине как присоединенный диск;
3. проверить возможность лечения в безопасном режиме (cureit, возможно придется переименовать так же для удачного запуска).

[QUOTE]RP55 RP55 пишет:
В HiJackThis - работа с зоопарком тоже - так себе.  
[/QUOTE]
по HJ
[URL=http://sourceforge.net/projects/hjt/]HiJackThis is now Open Source [/URL]

кстати, никто не смотрел сегодня вебинар от Дрвеб?
http://defendium.info/showthread.php/3711-%D0%92%D1%80%D0%B5%D0%B4%D0%BE%D0%BD%D0%BE%D1%81%D0%BD%D0%BE­%D0%B5-%D0%9F%D0%9E-%D0%B8-%D0%BC%D0%B5%D1%82%D0%BE%D0%B4%D1%8B-%D0%B5%D0%B3%D0%BE-%D0%BD%D0%B5%D0%B9%D1%82%D1%80%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0­%D1%86%D0%B8%D0%B8-%D0%BD%D0%BE%D0%B2%D1%8B%D0%B9-%D0%BE%D0%B1%D1%88%D0%B8%D1%80%D0%BD%D1%8B%D0%B9-%D0%BA%D1%83%D1%80%D1%81-%D0%B2-%D1%80%D0%B0%D0%BC%D0%BA%D0%B0%D1%85-%D0%B7%D0%B0%D0%BE%D1%87%D0%BD%D0%BE%D0%B3%D0%BE-%D0%BE%D0%B1%D1%83%D1%87%D0%B5%D0%BD%D0%B8%D1%8F-%C2%AB%D0%94%D0%BE%D0%BA%D1%82%D0%BE%D1%80-%D0%92%D0%B5%D0%B1%C2%BB?p=18531#post18531

[QUOTE]Арвид пишет:
Странно что некоторые вендоры видят Carberp в загрузчике как Rootkit.MBR.Mayachok.B
[/QUOTE]
это и раньше было. ESET детектировал как Carberp.A, DrWeb как разновидность маячка, Avira, Kaspersky как вариант Cidox.

возможно есть файловое заражение,
проверьте систему из под Live.CD
http://forum.esetnod32.ru/forum9/topic1966/

Вам на другой форум с проблемой.
[QUOTE]Доступ к файлу получен [C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE][/QUOTE]
тема закрыта.

[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn A7679B19B906F5A40BD4AEDB18A21D6F276265D989FA9CBC89A9B8D4504B­D8DE49E7A989D60BBA492B03408F15AE61AF7DDF8072F7D4F046581D5845­F1EE4F5C 8 TrojanDownloader.Carberp.AH [NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\OK4RUNM5RPY.EXE
bl CE6010497DF3C82F3F92DA0FAA90E1E6 185856
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\OK4RUNM5RPY.EXE
chklst
delvir
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]

[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

fixvbr C: 5
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]

отсюда скачайте малваребайт
http://rghost.ru/users/santy/releases/utilitiesLiveCd

эти объекты оставьте
[QUOTE]C:\WINDOWS.1\kmsem\KMService.exe (Trojan.FakeAlert) -> 628 -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
C:\WINDOWS.1\kmsem\KMService.exe (Trojan.FakeAlert) -> Действие не было предпринято.
[/QUOTE]
остальное надо удалить.
---------
далее,
выполните наши рекомендации по безопасной работе
http://forum.esetnod32.ru/forum9/topic3998/