сделайте лог журнала обнаруженных угроз
http://forum.esetnod32.ru/forum9/topic1408/

обычно такое бывает для vista или Win7 при загрузке с Live.CD
[QUOTE]uVS v3.71: Windows 7 Ultimate x86 (NT v6.1) build 7600 [C:\WINDOWS][/QUOTE],
при загрузке с Live.CD под C резервируется область загрузчиков, а каталог с Windows действительно будет на другом диске.

хорошо, тему закрываю.

лог чистый, что с проблемой? решена? нет?
если решена, выполните наши рекомендации по безопасной работе применительно к вашей системе
http://forum.esetnod32.ru/forum9/topic751/

подведем некоторые итоги.
-------------
1. Carberp обнаруживается в памяти

[QUOTE]17.11.2011 19:48:32 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(704) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна 1-ПК\1
17.11.2011 19:27:58 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1444) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна 1-ПК\1
17.11.2011 17:26:57 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1212) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна

[/QUOTE]система загружена с C.
2. ESI 17.11.2011 в 21:03 не находит аномалий никаких.

3. скан оперативной памяти
[QUOTE]Дaтa: 17.11.2011 Время: 22:11:31
Просканированные диски, папки и файлы: Оперативная память
Оперативная память » svchost.exe(2444) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна
Количество просканированных объектов: 614
Количество обнаруженных угроз: 1
[/QUOTE]
т.е. вирусяка присутствует все время оперативной памяти.

4.  MBAB  18.11.2011 0:50:13
находит только хвосты
[QUOTE]mbam-log-2011-11-18 (00-50-13).txt

Тип сканирования: Быстрое сканирование
Просканированные объекты: 170048
Времени прошло: 3 минут, 43 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 0
Зараженные папки: 0
Зараженные файлы: 1

[/QUOTE]
5. образы автозапуска с Live.CD сделаны неверно. Сделаны для системы с диска I.

[QUOTE]Heify пишет:
попробовал с флэшки, каталог цифровых подписей также не установился
Лог при загрузке с флэшки[/QUOTE]
Второй образ тоже сделан для системы с диска I. Что там у вас? загрузочный диск? Нужен образ системы которая у вас на жестком диске C.

[QUOTE]Heify пишет:
сделал с диска загрузился, выбрал папку windows запустил скан. После он пытался создать какую то папку для проверки цифровых подписей, но неудачно.[/QUOTE]
Система у вас на диске C, вы же делаете здесь образ автозапуска с диска I.
[QUOTE]I:\WINDOWS\EXPLORER.EXE[/QUOTE]

[QUOTE]RP55 RP55 пишет:
*В принципе тело вируса, можно найти при работе с Live CD + добавление файлов каталогов.[/QUOTE]
все остальное - от лукавого.
---------
пока есть две (известные) материальные причины присутствия Carberp в оперативной памяти:
1. IGFXTRAY.EXE стартует из папки автозапуска
2. зараженный IPL, в котором (сигнатурами и проверкой на VT) определяется в uVS как Rt.Cidox, который ESET принимает за Carberp в оперативной памяти, т.е. после перезаписи VBR в uVS симптом в оперативной памяти исчезает.
--

удалите все найденное в МБАМ, за исключением
[QUOTE]Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
[/QUOTE]
перезагрузка,
новый лог МБАМ

что сейчас с проблемой? есть сообщение о Win32/Corkow.A или нет?