Для детального анализа заражения системы бывает необходим лог журнала обнаруженных угроз.
[QUOTE]Чтобы перейти в расширенный режим, нужно щелкнуть расположенную в левом нижнем углу ссылку Переключатель расширенного режима (Toggle Advanced mode) или нажать клавиши CTRL+M.
[/QUOTE]
Для нашего форума лог необходим в читабельном текстовом формате txt. (в xml - не нужен)

порядок действий:

1. Антивирус - служебные программы - файлы журнала

2. В списке журналы выбираем - обнаруженные угрозы

3. перемещаем курсор на записи журнала (если они есть)

4. правой кнопкой мыши вызываем контекстное меню, выбираем пункт "экспорт"

5. в диалоге сохранения файла устанавливаем тип файла txt

6. сохраняем файл, например threat.txt или угрозы.txt

7. помещаем данный файл в ваше сообщение на форум.

удалите в mbam все найденные записи, за исключением,
[QUOTE]Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.[/QUOTE]
перегрузите систему,
повторите логи uVS и mbam

выполните скрипт в uVS,
дождитесь завершения,
система самостоятельно должна перегрузиться,
после перезагрузки сделайте новый лог uVS
+
добавьте журнал обнаруженных угроз.
здесь детальная инструкция по шагам
http://forum.esetnod32.ru/forum9/topic1408/

в логах чисто.
чтобы третий раз на эти грабли не наступить - отправьте то, что попало в ZOO или в архив указанного типа по указанным адресам, чтобы добавили в базы если антивирус его не детектит,
+ выполните рекомендации по безопасной работе
http://forum.esetnod32.ru/forum9/topic751/
рекомендуем обновить java до 6.23, IE 6 до IE 8, flash player до 10,1,102, 64

[QUOTE]Антон Копёнкин пишет:
Santy, а я даже не вкурил, с чего всё началось... [/QUOTE]
думаю, началось все с отключения света, пошел ледяной дождь, и девушка не смогла больше вернуться на форум, чтобы продолжить лечение. :).

вот кстати, понравился коммент на одном из форумов

[QUOTE]Re: вандалы накануне похитили 200 метров проводов с пролета «Сабурово-Видное-1»
Абырвалг, 10.01.11 14:54:46, (id: 1435705)

Какие ещё "вандалы"? Это надо ж так сказать, вот чудаки! - обычные ворюги, а не вандалы. Вандалы - это те, кто разрушают предметы искусства или памятники архитектуры ради смеха или зависти, как глупые завистливые детишки, топча песочные замки более талантливых, старательных детей. Вандалы - германское племя, перекочевавшее из центральной Европы через Пиринеи и Гибралтарский пролив в африканский Карфаген, и уже из Африки напали на Рим и разрушили многие ценнейшие творения человеческих рук по одним им, дикарям, понятным причинам.[/QUOTE]

вот так и начинаются все мировые войны - возникает (фантомное) ощущение что задета честь прекрасной девушки Елены, и вот уже мегатонны слов сбрасываются на спящие деревни, города и антивирусные порталы, собираются и строятся армады кораблей в дальнее плавание, а хитрый Одиссей уже подсознательно (еще не зная об этом) строит своего Великого Трояна, которого обидчики (по его мнению) торжественно внесут как средство для Вечной Жизни Системы, и он заблокирует все земные и неземные контакты, одноклассников, братьев по оружию и прочие социальные места обитания землян. :).

[QUOTE]Евгений Д пишет:
может файлик с настройками какой скопировать[/QUOTE]
на эталонной машине с настроенным конфигом выполните
[COLOR=#006600]Антивирус - настройки - параметры импорта_экспорта[/COLOR]
здесь необходимо экспортировать настройки в файл "ваш эталонный конфиг.cfg"

на всех прочих машинах выполните
[COLOR=#006600]Антивирус - настройки - параметры импорта_экспорта[/COLOR]
здесь необходимо импортировать настройки их сохраненного файла "ваш эталонный конфиг.cfg

отлично,
выполните скрипт в uVS для зачистки без перезагрузки,
далее, сделайте лог малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[QUOTE]Тимур Камалиев пишет:
то что выше сказано, это что значит?))[/QUOTE]
то, что в этой системе, указанный параметр shell в ветке реестра должен быть таким
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell" = "[COLOR=#660000][B]D:[/B][/COLOR]\windows\explorer.exe"

Тимур, если снова не запустится Эксплорер, поправьте указанный ключ через регедит, и потом новые логи