ветка Winlogon по умолчанию может редактироваться только под учетными записями System, Administrator
HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon
если вы работаете под ограниченной записью, то эпидемии_заражения можно избежать.
Возможно, подобный функционал будет в 5 версии NOD32 - посмотрим.

посмотрите в настройках уровни очистки.

сделайте лог uVS
http://forum.esetnod32.ru/forum9/topic683/

1. выполните в [b]uVS[/b] приложенный скрипт в [b]безопасном режиме[/b];
после перезагрузки,
2. пробуем обновить антивирус, выполнить полное сканирование;

далее,
3. архив из папки uVS (имя автоматически формируется от текущей даты, например: 2010-10-04_13-30-55.rar/7z)
(*** в него автоматически помещены копии вирусов для отправки в вирлаб)
... отправить в почту [b][email protected][/b], [b][email protected][/b];
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем [b]infected[/b]

далее,
4. запостить новый лог uVS (предварительно поместите в архив rar).
[b]p.s.[/b]
*** просьба, каждый последующий лог переименовывать в uvs1, uvs2 и т.д.
*** просьба, пройти лечение до конца т.е. предоставить по ходу лечения другие запрашиваемые логи
*** + после завершения лечения установить обновление по всем рекомендуемым программам

сделайте дополнительно лог малваребайт для контрольной проверки
http://forum.esetnod32.ru/forum9/topic682/

выполните скрипт в uVS,
перезагрузка
далее сделайте лог Комбофикс
http://forum.esetnod32.ru/forum9/topic735/

Интересно, есть уже детект у Есета этого трояна?

[QUOTE]Trojan.VkBase.1

Добавлен в вирусную базу Dr.Web: 2010-11-03 00:10:35

Тип вируса: троянец-загрузчик, ремувер защитного ПО.
Техническое описание

Вредоносная программа распространяется с вредоносного сайта в домене .ru, под видом архивов с личной информацией, принадлежащей пользователям социальной сети ВКонтакте.

Скачиваемый файл является исполняемым exe-файлом, который формируется на вредоносном сайте динамически в зависимости от параметров поиска, которые ввёл пользователь.

При запуске троянца (исполняемый файл запускается без параметров) выводится окно, внешне напоминающее интерфейс Проводника Windows с содержащимися необходимыми приватными сведениями.

Затем программа устанавливает себя в систему в качестве сервиса с именем zipdrivers. После этого созданный сервис запускается и производит поиск установленных в системе антивирусных продуктов. Если был найден один из антивирусных продуктов Dr.Web для Windows, то с вредоносного интернет-сервера скачивается дополнительный модуль, определяемый Dr.Web как Trojan.AVKill.2942.

Далее производится презагрузка компьютера в безопасный режим Windows и удаление из системы антивирусных программ следующих производителей:
# AGAVA;
# avast!;
# Avira;
# Agnitum;
# Comodo;
# Dr.Web;
# ESET;
# Kaspersky;
# McAfee;
# Symantec. [/QUOTE]

http://vms.drweb.com/virus/?i=589790&lng=ru

[QUOTE]zloyDi пишет:
a variant of  - это и есть эвристика!
[/QUOTE]
я думаю, RP55 не прав, потому что в сканировании по требованию в методах [B]глубокого сканирования[/B] есть и эвристический анализ, и расширенная эвристика, и сигнатуры.

[QUOTE]"aif453sf" = "" Автoмaтичecкий ; Загружено ; ( 5: Неизвестно ) ;
"atcirvvv" = "" Автoмaтичecкий ; Загружено ; ( 5: Неизвестно ) ;
[/QUOTE]
подозрительные драйвера.

попробуем режим виртуализации.

выполните в uVS скрипт,
(дождитесь выполнения всех команд - с созданием копии реестра)
будет автоматическая перезагрузка
после перезагрузки - сделайте новый лог uVS

сделайте лог uVS
http://forum.esetnod32.ru/forum9/topic683/