Найти файлы

C:\WINDOWS\system32\e115f2f3.exe,
C:\WINDOWS\system32\IaWHHCb.exe

Поместить файлы в архив с паролем infected и отправить на [email protected], [email protected]
Удалить данные файлы

После в программе hijackthis пофикстить следующие строки
[quote]
F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\Opera\opera.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\e115f2f3.exe,\\?\globalroot\systemroot\system32\IaWHHCb.exe,
O2 - BHO: Smart-Shopper - {4A7C84E2-E95C-43C6-8DD3-03ABCD0EB60E} - (no file)
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
[/quote]

после нажать Пуск - выполнить - route -f и нажать Enter

После перезагрузить ПК

Обновить антивирус

далее,

скачайте отсюда uVS, http://soft.oszone.net/program/8729/Universal_Virus_Sniffer_uVS/
распаковать в папку,
запустить файл start.exe
создать полный образ автозапуска,
заархиваровать файл образа в rar архив,
файл архива прикрепить в тему.

4. как создать лог журнала обнаруженных угроз.
в главном окне антивируса выбрать - инструменты, логи, журнал обнаруженных угроз,
далее, становитесь на запись журнала, правой кнопкой мыши - экспорт в текстовый файл,
файл сохранить, запостить на форум.

[b]Ivan[/b], если проблема сохранилась,
добавьте в тему лог журнала обнаруженных угроз ESET NOD32,
так же,
скачайте с этой страницы http://www.gmer.net/#files файл антируткита. (EXE)
запустить,
выполните быстрое сканирование (все сервисы, кроме жестких дисков)
лог gmer-а запостите на форум.

[QUOTE]Владимир Шапошников пишет:
у меня похожая проблема. файл с рекомендациями что вы вложили он для каждого индивидуален?[/QUOTE]
значит, вам нужно запостить такие же, свои логи: hj, sysinspector

sorry, mstsc - это терминальный клиент, т.е. приложение, которое коннектится к удаленному рабочему столу,
для него актуально только исходящее соединение на 3389 порт, т.е. на порт терминального сервера,
на удаленной же машине должно быть правило для svchost.exe, в вашем случае, svchost слушает порт 3389 для входящего соединения.
Поправьте это правило, вместо mstsc должно быть svchost.exe, локальный порт 3389, соединение входящее для всех удаленных компььютеров, или только для вашего (IP указать)

скачайте с этой страницы программу tcpview,
http://technet.microsoft.com/ru-ru/sysinternals/bb897437.aspx
запустите на машине, к которой пдключаетесь,
сохраните соединения в файл,
файл прикрепите к теме,
так же,
прикрепите новый рисунок правила ESS для RDP на машине, к которой подключаетесь

должно работать, если служба терминалов поднята на 3389, и есть включено разрешение на удаленное подключение к рабочему столу для указанных пользователей. Единственно, надо дополнитлеьно указать, для какого приложения создано это правило... смотрите на вкладке local.

логи добавьте с проблемной машины: hj, sysinspector

вот такое правило должно быть

правила для приложений в фаерволле умеете создавать?