[B]Арвид[/B], уже лучше
+ мы делаем акцент, на следущее:
то что попадает в карантин ZOO, проверяется по возможности на ВТ через интерфейс uVS (собственно, это поиск по хэшам ранее загруженных файлов для проверки)
и если это не детектится антивирусом от ESET NOD32,
то желательно, чтобы пользователь отправил карантин по адресам поддержки и вирлаба.

удалить все, что найдено в МБАМ,
перезагрузка,
повторить лог МБАМ

по новому образу - чисто.
сделайте лог малваребайт

хорошо, тему закрываю.

выполните скрипт в uVS [B]из файла[/B]
http://forum.esetnod32.ru/forum9/topic2478/
перезагрузка,
новый образ автозапуска,
------------------
+
лог малваребайт
http://forum.esetnod32.ru/forum9/topic682/

сообщение будет перемещено в раздел обнаружение вредоносного кода.

удалите все найденные объекты в МБАМ, кроме
[QUOTE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
[/QUOTE]
сделайте, повторный лог,
если все будет чисто, за искл. этих записей,
выполните наши рекомендации по безопасности.
http://forum.esetnod32.ru/forum9/topic751/

судя по образу, все чисто. cdrom.sys вижу, заменили.
-------
1. можно проверить работу cd-room
2. просканированить полностью систему с помощью ESET NOD32 с обновленными базами (в удобное время)
3. сделайте сейчас лог малваребайт
http://forum.esetnod32.ru/forum9/topic682/

хорошо, программа такая.
1. выполнить в uVS (из под Live.CD) приложенный скрипт из файла
(не перегружаем системы)
2. возможно следует заменить файл CDROM.SYS поскольку ZAccess может заразить один из известных драйверов.
судя по образу - это cdrom.sys

[QUOTE]Полное имя C:\WINDOWS\SYSTEM32\DRIVERS\CDROM.SYS
Имя файла                   CDROM.SYS
Тек. статус                 ИЗВЕСТНЫЙ драйвер в автозапуске
                           
www.virustotal.com          Хэш НЕ найден на сервере.
                           
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ драйвер в автозапуске
Размер                      62976 байт
Создан                      02.03.2006 в 15:00:00
Изменен                     13.04.2008 в 21:10:48
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись            Отсутствует, что необычно для известного файла этого типа [ВОЗМОЖНО поврежден/заражен]
                           
Доп. информация             на момент обновления списка
SHA1                        A1EBCF498226077984C8D438AF7B4DA61BFB0813
MD5                         33999C67FF8DC6B2DFFBE06A3418631D
                           
Ссылки на объект            
Ссылка                      HKLM\uvs_system\ControlSet001\Services\Cdrom\ImagePath
ImagePath                   system32\DRIVERS\cdrom.sys
Cdrom                       тип запуска: При инициализации ядра (1)
                           
[/QUOTE]
копию cdrom.sys (WinXP SP3) можно скачать отсюда
http://rghost.ru/26060711
копия вашего подозрительного cdrom.sys при выполнении скрипта попадет в ZOO (на всякий случай)

после выполнения скрипта,
после замены драйвера,
перегрузите систему,
и сделайте новый образ автозапуска,

вариантов лечения будет несколько:
1. uVS в безопасном режиме
2. с помощью Live.CD от ESET RUSSIA
http://forum.esetnod32.ru/forum9/topic1966/
3. c помощью утилит.
--------------
начнем с первого варианта.