далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

1. добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

2. добавьте образ автозапуска из безопасного режима системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.81.11 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\PHOTO.EXE
addsgn 925277AA026AC1CC0B34464E334BDFFACE9A6C66196A8FE80FC583345791­709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E­0707F900 8 Trojan.Siggen4.10036 [DrWeb]

zoo %SystemRoot%\TEMP\WRD-36C-3C0-572C.~LK\1.MDD
addsgn 98E01FEA04685C9AD5FCAEB15708528C606E778385C9E04372B6C9856D46­B24E331847E43E559DC0567CBF6F3213CA047FAAD9D37D06B23C16B0D023­38733225 8 mdd.1

zoo %SystemRoot%\TEMP\WRD-36C-3C0-572C.~LK\0.MDD
addsgn 98E01F2A2E6B5C9A8DCFAEB15708528C606E778385C9E04372B6C9856DF6­9F4D331847E43E559DC0567CBF6F3213CA047FAAD9D391DCB23C16B0D023­38733225 8 mdd

zoo %SystemRoot%\TEMP\POOLER\POOLER.EXE
addsgn 9204779A556A147751DFAEB1EFF811F50E4A7708EF57DE9889480DECFDFD­B94FD29C0B006F1C170D12860C9B7763BFD1BD7363BAD53B400822B64523­4DEE8E78 8 Trojan.Siggen3.39984 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\FILE.EXE

adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA
addsgn A7679B1991D6F51E0BD4AE3879077F442503E1B722BB1FF1D03F4CB18A57­304CAA2282FC7F5514749E2DC59F169F7C20FC9EE8FB509B1B6D2DFEA10A­B84722FA 8 BackDoor.IRC.NgrBot.42 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\SCREENSAVERPRO.SCR
hide %SystemDrive%\PROGRAM FILES\MOTOROLA\MOTOCONNECTSERVICE\MOTOCONNECTSERVICE.EXE
addsgn 98E01F222B6B5C9A99C9AEB15708528C606E778385C9E04372B6C9856D7E­A94D331847E43E559DC0567CBF6F3213CA047FAAD9D3112BB13C16B0D023­38733225 8 mdd.2

zoo %SystemRoot%\TEMP\WRD-36C-3C0-572C.~LK\2.MDD
addsgn 98E01FC2E9665C9A9D98AEB15708528C606E778385C9E04372B6C9856D16­5C42331847E43E559DC0567CBF6F3213CA047FAAD9D35D9DBE3C16B0D023­38733225 8 mdd.3

zoo %SystemRoot%\TEMP\WRD-36C-3C0-572C.~LK\3.MDD
addsgn 98E01F5A0D685C9A46F4AEB15708528C606E778385C9E04372B6C9856DEE­C34F331847E43E559DC0567CBF6F3213CA047FAAD9D35110B33C16B0D023­38733225 8 mdd.4

zoo %SystemRoot%\TEMP\WRD-36C-3C0-572C.~LK\4.MDD
addsgn A7659219B97E2673F4C16A3326C8FAD8DB75037B3FFA1F78854E799B50D6­714C769E2604BDB999C26E880F9FCD16746B7DDF28056EE73D2C2DB7D664­7C072273 8 Tool.BtcMine.133 [DrWeb]

zoo %SystemRoot%\TEMP\69.TMP\MINERD.EXE
zoo %SystemRoot%\TEMP\1C.TMP\MINERD.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.APEHA.RU

; Ask Toolbar
exec C:\Program Files\AskBarDis\unins000.exe

; Adobe Media Player
exec msiexec /qb /x {DE3A9DC5-9A5D-6485-9662-347162C7E4CA}

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

попробуйте удалить все точки, и заново создать точку восстановления.
[QUOTE]17.02.2014 13:28:27 Защита в режиме реального времени файл C:\System Volume Information\_restore{8647A129-DB2F-4096-A6D9-9E44456D54C4}\RP543\A0114595.exe Win32/Toolbar.Conduit.V потенциально нежелательная программа удален - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\System32\svchost.exe.
17.02.2014 13:28:26 Защита в режиме реального времени файл C:\System Volume Information\_restore{8647A129-DB2F-4096-A6D9-9E44456D54C4}\RP543\A0114594.dll модифицированный Win32/Toolbar.Conduit.P потенциально нежелательная программа удален - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\System32\svchost.exe.
[/QUOTE]

судя по логам, удалось пролечить.
что еще можно сделать.

перегрузите систему, и еще раз выполните быструю проверку в мбам,

если все будет чисто, сделайте еще раз полную проверку штатным антивирусом. + проверьте все съемные диски, что есть у вас и флэшки.

[QUOTE]16.02.2014 21:12:14 Защита в режиме реального времени файл C:\System Volume Information\_restore{8647A129-DB2F-4096-A6D9-9E44456D54C4}\RP542\A0114504.dll Win32/Toolbar.Conduit.X потенциально нежелательная программа удален - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\System32\svchost.exe.
16.02.2014 20:12:50 Защита в режиме реального времени файл C:\System Volume Information\_restore{8647A129-DB2F-4096-A6D9-9E44456D54C4}\RP542\A0114503.dll Win64/Toolbar.Conduit.B потенциально нежелательная программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\System32\svchost.exe.
[/QUOTE]

выполните еще раз сканирование с очисткой папки
[QUOTE]C:\System Volume Information[/QUOTE]
и добавьте новый лог журнала обнаружения угроз

добавьте лог журнала обнаружения вредоносного кода
http://forum.esetnod32.ru/forum9/topic1408/

там в диалоге должна быть галка, которая управляет очисткой.

выполните сканирование с очисткой этой папки
[QUOTE]C:\System Volume Information[/QUOTE]

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/