удалите все найденное в мбам,

перегрузите систему,

далее, сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.82.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КОНСТАНТИН\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetorian

delall %SystemDrive%\DOCUMENTS AND SETTINGS\КОНСТАНТИН\APPLICATION DATA\SWVUPDATER\UPDATER.EXE
hide D:\GAMES\DIABLO II\UNINSHS.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[B]tnod [/B]используем
[QUOTE]C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\UNINST-TNOD.EXE[/QUOTE]
обратитесь за помощью на другой форум.

тема закрыта.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.82.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.2

OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\DAEMONPROCESS.EXE
delall %SystemDrive%\USERS\DMITRY\APPDATA\ROAMING\YANDEX\YANDEXDISK­\YANDEXDISKSTARTER.URL
delall %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.URL
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
+
удалите ярлыки браузеров и Яндекс-диск) на рабочем столе и в быстром запуске, и заново создайте их.
+
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

универсальных советов, которые решат все проблемы нет. совет  -ставить программы из доверенных источников.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

множественное файловое заражение neshta
[QUOTE]Win32/Neshta.A [глубина совпадения 64(64), необх. минимум 22, максимум 64][/QUOTE]
пролечите полностью систему и съемные диски с по мощью загрузочного диска ESET rescue
http://forum.esetnod32.ru/forum9/topic1966/

затем добавьте новый образ автозапуска.

обновите ESET NOD32 до актуальной версии 4.2.76 вместо
[QUOTE]4.2.67.10 [/QUOTE]

OSPP.VBS так может и зря был удален.
http://technet.microsoft.com/ru-ru/library/ee624350(v=office.15).aspx

файл на самом деле полезный, но вот с симптомами он подмены или замены

[QUOTE]Полное имя C:\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE15\OSPP.VBS
Имя файла OSPP.VBS
Тек. статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Размер 79360 байт
Создан 02.03.2014 в 17:48:02
Изменен 02.03.2014 в 17:48:02
[B]Цифр. подпись НАРУШЕНА, файл модифицирован или заражен[/B]

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись Недействительна (файл поврежден/заражен)

Доп. информация на момент обновления списка
SHA1 98D178D56102AA857C68750A16E1BFDE22BE848D
MD5 BF41086C3C6A7BE1E8D3AF0323A05C42
[/QUOTE]

второй файл на самом деле отсутствует, но тоже был подозрительно прописан в автозапуске

[QUOTE]Полное имя C:\PROGRAMDATA\SETWALLPAPER.CMD
Имя файла SETWALLPAPER.CMD
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле Не удается найти указанный файл.
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Setwallpa­per
Setwallpaper c:\programdata\SetWallpaper.cmd
[/QUOTE]

можно в списке расширений Хрома
в строке URL наберите адрес
chrome://extensions/
на этой странице можно отключить расширения.