выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE

;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

добавьте образ автозапуска
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]

поменяйте клавиатуру, проверьте как будет работать другая клавиатура

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

delall %Sys32%\LYGWAAG.EXE
delall %Sys32%\SDRA64.EXE
delall %Sys32%\7OASBXI.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3}\[CLSID]

delref {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\[CLSID]

delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]

delref {E7E6F031-17CE-4C07-BC86-EABFE594F69C}\[CLSID]

delref HTTP://WEBALTA.RU

regt 28
regt 29
; Java™ 6 Update 10
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010F0} /quiet
; Java™ 6 Update 11
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF} /quiet
exec D:\Program Files\AutoHotkey\uninst.exe

deltmp
delnfr
;-------------------------------------------------------------

restart[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

тут надо смотреть в 64битной системе - различаются эти модули в system32 и syswow64
или нет
(мне тоже уже этот вопрос приходил в голову :))

ну, мы всегда готовы :)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[CODE];uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\NIKIFOROV\APPDATA\LOCAL\TEMP\WGFBH.EXE
addsgn 1A5E2A9A5583348CF42B254E3143FE53DABF1C99C8FA944D11F384BCAF00­F48C5736628B51149DCAD37FF08816E97C1A129EE88D832560A9ED03ACA4­47FE2373 8 Win32/Injector.BQIY [ESET-NOD32]

zoo %SystemDrive%\USERS\NIKIFOROV\APPDATA\ROAMING\UPDATE\MSUPDAT­E.EXE
addsgn 1AD81E9A5583348CF42BC4BD0C401544256263D089FA2C870CBE218F905D­044018E0CCC2FE6E5A3C0B68EA8946168EFA6BDFE872028DE77B7A9F8100­C706A1B7 8 Win32/Injector.BPXD [ESET-NOD32]

zoo %SystemDrive%\USERS\NIKIFOROV\APPDATA\ROAMING\TEMP.BIN
addsgn 1A3F469A5583C58CF42B16A9948812C6848AE1B789AC756CDB4605C9576E­714E231728510593E04EA046279F5B574990798F00F367DAB07574D44423­8606A7B3 64 Win32/Dorkbot.B [ESET-NOD32]

addsgn A7679BF0AA022CB64BD4C601D8881261848AFCF689AA7BF1A0C3C5BC5055­9D24704194DE5BBDAE92A2DD78F544E95C9EBD9FE82BD6D700EC78775BAC­CAB2E226 8 Win32/Kryptik.CRJF [ESET-NOD32]

zoo %SystemDrive%\USERS\NIKIFOROV\APPDATA\ROAMING\MICROSOFT\WIND­OWS\DASCSF.EXE
addsgn 1A542A9A5583348CF42B254E3143FE53DABF1459C8FA944D91B284BCAF00­F48C573662B391149DCAD37FF08816E97C12D29EE88D832560A9ED03ACA4­47FE2373 8 Win32/Dorkbot.B [ESET-NOD32]

zoo %SystemDrive%\USERS\NIKIFOROV\APPDATA\ROAMING\UPDATE\EXPLORE­R.EXE
zoo %SystemDrive%\USERS\NIKIFOROV\APPDATA\ROAMING\C731200
delall %SystemDrive%\USERS\NIKIFOROV\APPDATA\ROAMING\UPDATE\MSIEXEC­R.EXE
delall %SystemDrive%\USERS\RPDU1\DESKTOP\NARDY_2.0.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\ПРИЛОЖЕНИЕ WWW.URA.RU\UPDATEBHOWIN32.DLL
adddir %SystemDrive%\USERS\NIKIFOROV\APPDATA\ROAMING
;------------------------autoscript---------------------------

chklst
delvir

regt 28
regt 29
deltmp
delnfr
CZOO
restart
[/CODE]перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [URL=mailto:[email protected]][email protected][/URL], [URL=mailto:[email protected]][email protected][/URL]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

каким образом вы обновляетесь?
добавьте образ автозапуска
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]

[B]ZloyDi[/B], что Eset ответил? ложное?
[QUOTE]C:\WINDOWS\SYSTEM32\USERINIT.EXE
Win32/Patched.IG[/QUOTE]
видимо файлик был без цифровой

да, теперь чистый файл  с цифровой подписью
C:\WINDOWS\SYSTEM32\USERINIT.EXE
Действительна, подписано Microsoft Windows