[B]blandin,[/B]
вам уже дважды написали хелперы - добавить лог сканирования tdsskiller на форум.
что вы там видите - нам неизвестно,
добавьте лог и  тогда мы увидим, что там находит или не находит tdsskiller.

[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemRoot%\APPPATCH\LDORDD.EXE
addsgn A7679B19B94E1B24380669F48CC812052501A91EDB3D1AD6C99BC5BC50D6­71C72EB98F0F3E0426492B8084CCB9036D8A2BDF4B561B82B0927A6F482F­0043D6C0 8 Spy.shiz

delall %SystemDrive%\USERS\САШЕНЬКА\APPDATA\LOCAL\TEMP\HUVGCVO.EXE
bl F0913E64D690D4674F019C3A57810C25 256000
delall %SystemRoot%\APPPATCH\LDORDD.EXE
delall %SystemDrive%\PROGRAM FILES\ANTIRUN\ANTIRUN.EXE
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
regt 12
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]

еще раз.
Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.

образ автозапуска по правилам
http://forum.esetnod32.ru/forum9/topic2687/

интересный факт:

[QUOTE]07.02.2012 17:54:34 Защита в режиме реального времени файл C:\$UVS_285\ctjkdr Win32/Spy.SpyEye.CA троянская программа очищен удалением - изолирован MICROSOF-070D84\Admin Событие произошло в новом файле, созданном следующим приложением: C:\$uvs_285\hthgpz.
07.02.2012 17:54:33 Защита в режиме реального времени файл C:\SYSTEMHOST\24FC2AE3515.EXE Win32/Spy.SpyEye.CA троянская программа очищен удалением - изолирован MICROSOF-070D84\Admin Событие произошло при попытке доступа к файлу следующим приложением: C:\$uvs_285\hthgpz.
07.02.2012 17:39:31 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » winlogon.exe(1672) модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна
[/QUOTE]
похоже ESET NOD32 обнаружил SpyEye после действия антисплайсинга от uVS, до этого не детектил, хотя файлик находился в автозапуске.
http://forum.esetnod32.ru/forum6/topic4033/

интересный факт:
[QUOTE]07.02.2012 17:54:34 Защита в режиме реального времени файл C:\$UVS_285\ctjkdr Win32/Spy.SpyEye.CA троянская программа очищен удалением - изолирован MICROSOF-070D84\Admin Событие произошло в новом файле, созданном следующим приложением: C:\$uvs_285\hthgpz.
07.02.2012 17:54:33 Защита в режиме реального времени файл C:\SYSTEMHOST\24FC2AE3515.EXE Win32/Spy.SpyEye.CA троянская программа очищен удалением - изолирован MICROSOF-070D84\Admin Событие произошло при попытке доступа к файлу следующим приложением: C:\$uvs_285\hthgpz.
07.02.2012 17:39:31 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » winlogon.exe(1672) модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна
[/QUOTE]
похоже ESET NOD32 обнаружил SpyEye после действия антисплайсинга от uVS, до этого не детектил, хотя файлик находился в автозапуске.

добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

возможно, вместе с Carberp был установлен. вот с этим.
[QUOTE]delall %SystemDrive%\DOCUMENTS AND SETTINGS\OMIROVA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\TB8UZ9Q7FFN.EXE[/QUOTE]
была инфо, что вирусописатели в охоте за банковской информацией устанавливают и легитимные программы для удаленного доступа.
---------
включить/отключить ввод пароля при входе в Win - видимо здесь.
[QUOTE]HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"LogonType"=dword:00000001 - значит включен, чтобы выключить измените 00000001 на 00000000.[/QUOTE]
------
как обезопасить систему на будущее:
http://forum.esetnod32.ru/forum9/topic3998/

по svсhost левому понятно,
используется легитимный, подписанный TeamViewer GmbH  файл, переименованный в svchost.exe
-------
а вот с какой целью установлен? возможно для несанкционированного доступа. возможно c уже прописанным ID.
[QUOTE]Полное имя C:\WINDOWS\SVCHOST.EXE
Имя файла                   SVCHOST.EXE
Тек. статус                 в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
Размер                      4380968 байт
Создан                      08.12.2009 в 14:52:22
Изменен                     08.12.2009 в 14:52:22
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано TeamViewer GmbH
                           
Оригинальное имя            TeamViewer.exe
Версия файла                5.0.7478.0
Версия продукта             5.0
Описание                    TeamViewer
Продукт                     TeamViewer
Copyright                   TeamViewer GmbH
Производитель               TeamViewer GmbH
                           
Доп. информация             на момент обновления списка
SHA1                        81A41C116AF135AE25D8BB72BAF4B7F6DA6B6EC1
MD5                         9DFA2BD6BDDC746ACEA981DA411D59D3
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Expl­orer\Run\svchost
svchost                     C:\WINDOWS\svchost.exe
[/QUOTE]

по логам чисто.
решилась проблема? нет?