Стартовая страница в Internet Explorer _http://www.multidvd.org установлена пользователем? Желательно обновить версию IE до 8.0, так же обратите внимание на версии Adobe Acrobat Reader, Adobe Flash Player.

судя по всему, вы сами справились с проблемой, но для для дополнительной проверки сделайте скан системы с помощью обновленного NOD32, а так же запостите логи HJ, sysinspector, + выполнить route print >> c:\route.txt, файл route.txt так же запостить на форум.
===
файлы, которые не детектирует ESET NOD32, следует ему же и отправлять: [email protected], [email protected]

Данное правило следует раскатать по клиентам как задачу изменения конфигураци (Configuration Task) с помощью сервера ERA. (в приложении (в архиве) разрешающее правило для drwcs.exe, плюс исключение из контроля приложений для него же.) Правило можете уточнить с учетом вашей доверенной зоны, или для всех IP.

Добавьте журнал обнаруженных угроз (история заражения), +
лог быстрого сканирования malwarebytes, +
файл c:\route.txt как результат выполнения команды:
route print >> c:\route.txt

удобный загрузчик файлов из контекстного меню для проверки файлов на Virustotal.

http://www.virustotal.com/ru/metodos.html

Тут дело такое: если у вас есть на удаленной машине в ESS правило для DameWare Mini Remote Client Agent (dwrcs.exe), то при обновлении данного клиента на новую версию, что происходит при новой попытке подключения к удаленному хосту, в ESS сработает правило контроля изменения приложений (так как сетевое приложение изменилось), это можно сказать часть функционала HIPS который так безуспешно искали в прошлом году.... ДАнный функционал заблокирует доступ к хосту через DameWare пока вы не подтвердите обновление правила (соответствующий алерт будет на экране).
===
(я так же не смог подключиться через DamWare Mini Remote Control после обновления агента, но подключился по радмин, и подтвердил обновление правила, следующая попытка подключения уже была успешной.)
===
Тут два варианта решения проблемы: (см. в настройках "фаерволл - контроль изменения приложений") либо вы разрешаете изменения в подписанных (доверенных) приложениях, либо вносите в исключение данное приложение. Проверьте как это будет работать.

[QUOTE]Andrey пишет:
Да клиентская часть устанавливается - дальше подключения нету ([/QUOTE]

После установки_обновления нового клиента, если был ранее установлен старый клиент от 6.8 необходимо обновить правило для клиента в ESS, так как изменилось сетевое приложение. После обновления правила для клиента доступ к рабочего столу удаленного хоста через DameWare Remote Control восстанавливается.
===
т.е.  подключение нормально работает.

сделайте логи hijackthis, sysinspector, запостите на форум
так же выполнить в пуск - выполнить - cmd команду route print >> c:\route.txt файл c:\route.txt запостить на форум,

по uVS.

при работе с uVS для запуска используем модуль start.exe
1. если вы работаете с активной (зараженной) системой значит выбираете из окна программы Запустить под текущим пользователем (если он админ на компьютере), или с максимальными правами (вчитывайтесь в интерфейс программы)

Если запускаете uVS с другой системы (загрузочный диск_флэшка, или используете другой компьютер с присоединенной зараженной системой), Вам необходимо выбрать каталог зараженной системы (через диалог) и выбрать максимальные права.

2. после завершения анализа списка автозагрузки, используйте режим : файл - сохранить полный образ автозапуска.

3. завершить работу с uVS (файл - выход, alt+f4)

4. сохраненный текстовый файл образа автозапуска заархивировать и запостить на форум.
===
(имейте ввиду, uVS - "острая бритва", и все чистит без предупреждения.)

Если вы выбрали другой способ запуска uVS, все равно нужен образ автозапуска.

по malwarebytes - текущая версия 1.46.

желательно, чтобы вы добавляли логи на форум, чтобы кто-то из форумчан, которые вас консультируют могли увидеть список вредоносных программ, и предложить свои рекомендации.

но в первую очередь выполните, то о чем пишет Алексей, логи нужны, чтобы вам помочь