[QUOTE]
Прикрепил образ автозапуска[/QUOTE]
образ неверно сделан из под Live.CD,
выбрана активная система WinPE с загрузочного диска X,
необходимо в start.exe длеать выбор системы с жесткого диска.

Хорошо,
далее рекомендация простая,
обновить базы антивируса, и выполнить полное сканирование системы,

дайте шанс реабилитироваться сканеру ESET NOD32. :).

файлик лучше отправит по адресу [email protected],
здесь же нужен образ автозапуска uVS для анализа.
http://forum.esetnod32.ru/forum9/topic683/

Да, это была бы полезная задача для ERA, было такое предложение от участников форума, но пока не реализовано в ERA.

выполните в uVS скрипт  из буфера обмена
будет автоматическая перезагрузка,
после перезагрузки - новый образ автозапуска в uVS,
и краткое описание состояния системы.

[CODE];uVS v3.70 script [http://dsrt.dyndns.org]

zoo %Sys32%\TABSVC.EXE

delall %Sys32%\TABSVC.EXE
sreg
delref %Sys32%\XRJSBQG.DLL
areg
[/CODE]

кроме tabsvc, на месте и другой файлик
-------------
[QUOTE]Полное имя C:\WINDOWS\SYSTEM32\XRJSBQG.DLL
Имя файла                   XRJSBQG.DLL
Тек. статус                 ?ВИРУС? ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
APPINIT_DLLS                ССЫЛКА: HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS\APPINIT_DLLS
                           
Сохраненная информация      на момент создания образа
Статус                      ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      53248 байт
Создан                      27.08.2011 в 22:01:09
Изменен                     27.08.2011 в 22:24:09
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            ATL.DLL
Версия файла                3.05.2284
Описание                    ATL Module for Windows XP (Unicode)
Производитель               Microsoft Corporation
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Автозапуск                  Неизвестный файл использует ключ реестра часто используемый вирусами
                           
Доп. информация             на момент обновления списка
SHA1                        ED38837A26568E902F799E639CB34961B473CB2F
MD5                         7867768C4B8247E846D89D4C7F90D3EE
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
Appinit_Dlls                C:\Windows\system32\xrjsbqg.dll
                           
[/QUOTE]

возможно, легальная служба, хотя не указан производитель файла, что есть подозрительно.

это известный вам сервис?
----------------
[QUOTE]c:\windows\system32\tabsvc.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 388 ?? 257.00 кб, rsAh,
создан: 16.08.2011 22:35:48,
изменен: 16.08.2011 22:35:48
Командная строка:
C:\Windows\System32\TabSvc.exe [/QUOTE]

в uVS
------------------
[QUOTE]Полное имя C:\WINDOWS\SYSTEM32\TABSVC.EXE
Имя файла                   TABSVC.EXE
Тек. статус                 АКТИВНЫЙ ВИРУС сервис в автозапуске [SAFE_MODE]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ сервис в автозапуске [SAFE_MODE]
Размер                      263168 байт
Создан                      16.08.2011 в 22:35:48
Изменен                     16.08.2011 в 22:35:48
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
pid = 420                   NT AUTHORITY\система
CmdLine                     C:\Windows\System32\TabSvc.exe
Процесс создан              18:40:09 [2011.08.25]
С момента создания          02:53:58
parentid = 552              
SHA1                        751F289327389DBDC390ACCAB894E70F06862790
MD5                         8922546CFB1407BBAF3BDBF11D93F76F
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\Table­tInputService\
ImagePath                   %SystemRoot%\System32\TabSvc.exe
TabletInputService          тип запуска: Авто (2)
                           
Ссылка                      HKLM\System\CurrentControlSet\Control\SafeBoot\Network\Table­tInputService\
ImagePath                   %SystemRoot%\System32\TabSvc.exe
TabletInputService          тип запуска: Авто (2)
                           
Ссылка                      HKLM\System\CurrentControlSet\Services\TabletInputService\Im­agePath
ImagePath                   %SystemRoot%\System32\TabSvc.exe
TabletInputService          тип запуска: Авто (2)
                           
Образы                      EXE и DLL
TABSVC.EXE                  C:\WINDOWS\SYSTEM32
                           
[/QUOTE]

если не получится очистить систему с помощью последней утилитки, можно попробовать вычислить возможно руткит, с помощью режима сверки в uVS.

[QUOTE]zloyDi пишет:
Ну судя по логу антивирус скорее всего его уже удалил, так как в логе чисто.
[/QUOTE]
Я так понял, человек пришел порадовать, что самостоятельно очистился от трояна DDOX.ci. :).