[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

[code]

;uVS v3.73 script [http://dsrt.dyndns.org]

deltmp
delnfr
regt 12
regt 13
regt 18
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.
---------
пробуем обновить базы,
если не будет обновление баз, то очистить кэш обновления, и повторить обновление.

проверьте дополнительно систему с помощью [URL=http://forum.esetnod32.ru/forum9/topic682/]Malwarebytes[/URL]

[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

[code]

;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DELL\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ISAYKTBTDGM.EXE
addsgn A7679B19B946C7776374ECB14D8DEE56A80A902889FA1E3D6D957D808AD6­71C17396CA12CA54C8A57CC28DDAAE271C22549A308D4096E06E2D56E1CF­4E43CAF0 8 Carberp

delref %SystemDrive%\DOCUMENTS AND SETTINGS\DELL\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
bl B0192364771C5AADA24B164552513E2C 169472
delall %SystemDrive%\DOCUMENTS AND SETTINGS\DELL\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ISAYKTBTDGM.EXE
chklst
delvir
delref HTTP://WEBALTA.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

[code]

;uVS v3.73 script [http://dsrt.dyndns.org]

delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE
delall %SystemDrive%\PROGRAM FILES\ASK.COM\GENERICASKTOOLBAR.DLL
delall %SystemDrive%\PROGRAM FILES\ASK.COM\UPDATETASK.EXE
delall %SystemDrive%\PROGRAM FILES\ASK.COM\UPDATER\UPDATER.EXE
delref HTTP://HOME.SWEETIM.COM
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\YANDEX\UPDAT­ER\PRAETORIAN.EXE
delall %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.10\BH\FACEMOODS.DLL
delall %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.10\FACEMOODSTLBR.DLL
deltmp
delnfr
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.

[QUOTE]Dizel пишет:
но нагрузка на RAM 39%>  это нормально?[/QUOTE]
сделайте новый образ автозапуска в uVS

[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

[code]

;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.10\FACEMOODSSRV.EXE
addsgn 988C1F523E294C9A82DFAEB1DB5C120525013B1EB403E0870CA62D37A45F­4F1ADC02C3157D5516073B0989E75F5249713BDB4BF64C9EB0A77B7F2D3A­4F1F6673 8 facemood

delall %SystemDrive%\USERS\836D~1\APPDATA\LOCAL\TEMP\A107D8F6-C66A-4FF3-93CA-2C3BC357C18E
delall %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.10\FACEMOODSSRV.EXE
addsgn A7679B19B926F5360BD4AEB0291441046866AAF7C41E48F5D18A08315483­7E4C23178274FC159E8820410DD2F23F1C367E17C3B85497082D689B5B3A­EB466073 8 Carberp.AD [NOD32]

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­WINDOWS\START MENU\PROGRAMS\STARTUP\AK4S6XZALB8.EXE
bl 6BD4D4970B9DA51DAC81ED7A99D95795 166400
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­WINDOWS\START MENU\PROGRAMS\STARTUP\AK4S6XZALB8.EXE
chklst
delvir
delref HTTP://START.FACEMOODS.COM/?A=BF2&F=2
deltmp
delnfr
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.

[B]ZloyDi[/B], посмотри еще этот файл
-------
[QUOTE]Полное имя C:\USERS\СЕРГЕЙ\APPDATA\ROAMING\ATHEROS.EXE
Имя файла                   ATHEROS.EXE
Тек. статус                 ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
www.virustotal.com          Хэш НЕ найден на сервере.
                           
Удовлетворяет критериям    
ЛИШНЕЕ В WINLOGON\SHELL     SHELL: EXPLORER.EXE,C:\USERS\СЕРГЕЙ\APPDATA\ROAMING\ATHEROS.EXE
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      79872 байт
Создан                      25.12.2011 в 19:53:56
Изменен                     25.12.2011 в 19:53:59
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            Sequel.exe
Версия файла                1.5
Описание                    Gild Loses Duck Spur Poe Skull
Производитель               Pinnacle Systems
Комментарий                 Being
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
Автозапуск                  Неизвестный файл использует ключ реестра часто используемый вирусами
                           
Доп. информация             на момент обновления списка
SHA1                        D419EB1C76C8AE87B5ACF4E7E590DC37FCD153F3
MD5                         CAE0ACEC11B796232508477531B265CF
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-2155677434-94346687-2512564130-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Expl­orer\Run\Atheros
Atheros                     C:\Users\Сергей\AppData\Roaming\Atheros.exe
                           
Ссылка                      HKEY_USERS\S-1-5-21-2155677434-94346687-2512564130-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Shell                       Explorer.exe,C:\Users\Сергей\AppData\Roaming\Atheros.exe
                           
[/QUOTE]

[QUOTE]grF пишет:
директории {35CEC8A3-2BE6-11D2-8773-92E220524153} не существует.[/QUOTE]
а других подобных подразделов нет в разделе [QUOTE]HKEY_CURRENT_USER\Software\Classes\CLSID[/QUOTE]?

хорошо,
выполните наши рекомендации по безопасной работе
http://forum.esetnod32.ru/forum9/topic751/

[B]georgi[/B], будьте добры,
прикрепите этот лог как файл к вашему сообщению.