выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[CODE]
;uVS v3.82 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE

delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-10967196\1NE331.EXE
delall %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\BZSBKOTIU.EXE
delall %SystemDrive%\USERS\ДНС\APPDATA\ROAMING\IDENTITIES\DITWTZ.EXE
delall %SystemDrive%\RECYCLER\MSCINET.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-897FEWJ\XETCWOW.EXE
hide %SystemDrive%\USERS\ДНС\NODUVAGAKEYER\NIRCMD.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://YAMBLER.NET/?IM

delref HTTP://YAMBLER.NET/?SEARCHID=2023689&L10N=RU&REQENC=&TEXT={SEARCHTERMS}

deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.

+
выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
----------

как загрузить систему в безопасном режиме
http://chklst.ru/forum/discussion/59/kak-zagruzit-sistemu-windows-v-bezopasnom-rezhime#Item_1

надо отметить все найденные записи галками и удалить все выделенные записи.

после удаления перегрузите систему,

добавьте новый образ автозапуска из безопасного режима системы.

+
сплайсинг
[QUOTE](!) Обнаружен сплайсинг: NtQueryDirectoryFile
(!) Обнаружен сплайсинг: LdrLoadDll
(!) Обнаружен сплайсинг: NtEnumerateValueKey[/QUOTE]

это удалите в мбам,
[QUOTE]C:\Users\Администратор\Desktop\rms.host5.5ru - сотрудники.msi (Trojan.RMS) -> Действие не было предпринято.
C:\Windows\Installer\1ffafb09.msi (Trojan.RMS) -> Действие не было предпринято.[/QUOTE]

если проблема решена, выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

зеркало uVS обновлено до v 3.82

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.81.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\KIVIS\APPDATA\LOCAL\YANDEX\UPDATER\PRAET­ORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetotian

delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL
REGT 14

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[B]Гаухар Саимова,[/B]
перейдите в эту тему
http://forum.esetnod32.ru/forum6/topic10585/

удалите все найденное в мбам,

далее,

добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

+

добавьте новый образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/