Хорошо, сделаю пометку в теме: Сергею Кузнецову. Отправлен.

проверил userini_fix на модификации Winlock.
----------
[QUOTE]Полное имя C:\WINDOWS\TEMP\IEFL.EXE
Имя файла                   IEFL.EXE
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      163328 байт
Создан                      07.10.2011 в 19:08:36
Изменен                     04.10.2011 в 10:02:40
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            LOG.exe
Версия файла                2.0.3531.38564
Описание                    LOG Application (Logging and Operating GUI)
Производитель               Advanced Micro Devices Inc.
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Тип запуска                 Неизвестный отладчик приложения(ий)
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
SHA1                        38E809450754D6A8E5B28E13B38B600953714AEC
MD5                         5B9E5B7DC4CE26BC652B10485E6D2CAD
                           
Ссылки на объект            
Ссылка                      HKLM\ziipenuel\Software\Microsoft\Windows\CurrentVersion\Run­\AdobeUpdater
AdobeUpdater                C:\WINDOWS\temp\iefl.exe
                           
Ссылка                      HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\Debugger
                           
Ссылка                      HKLM\uvs_software\Microsoft\Windows\CurrentVersion\Run\Adobe­Updater
AdobeUpdater                C:\WINDOWS\temp\iefl.exe
                           [/QUOTE]
скрипт разблокировал доступ к рабочему столу,
но
1. файл не попал в карантин,
2. запись в реестре  не удалена.
[QUOTE]Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VMware Tools"="\"C:\\Program Files\\VMware\\VMware Tools\\VMwareTray.exe\""
"VMware User Process"="\"C:\\Program Files\\VMware\\VMware Tools\\VMwareUser.exe\""
[B]"AdobeUpdater"="C:\\WINDOWS\\temp\\iefl.exe"[/B][/QUOTE]

выполните в uVS скрипт из буфера обмена

[QUOTE];uVS v3.71 script [http://dsrt.dyndns.org]

ZOO %SystemRoot%\DEFIS.SYS
deltmp
delnfr
czoo
restart[/QUOTE]

архив с ZOO, плиз, отправьте по адресам в вирлаб.
--------
далее, все таки лучше сделать еще лог малваребайт.

новый образ автозапуска, лечение еще не закончено.

нет, тема уже создана, сообщение с логами перемещено в новую тему, чтобы не было путаницы.
эту тему закрываю.

выполнить в uVS скрипт из файла в активной системе.
http://forum.esetnod32.ru/forum9/topic2478/

после выполнения, новый образ автозапуска,

здесь
http://forum.esetnod32.ru/forum6/topic2482/

по новой системе, все будет по другому: тоже заражение, но более сложное. и будет в новой теме.

лог чистый,
hosts очищен,
троян удален,
очистка кэша обновлений должна помочь обновить базы.
----------------
так же сделайте лог малваребайт
http://forum.esetnod32.ru/forum9/topic682/

лог тоже полезен, из него видно, как идет ход выполнения скрипта,
но лучше новый образ автозапуска для контроля нового состояния системы.
---------
[QUOTE]Удаление ссылок и самого файла: C:\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
Изменено/удалено объектов автозапуска 0 из 0 | Удалено файлов: 1 из 1

Очистка HOSTS...
Операция завершена.[/QUOTE]