этот файл ваш?
C:\WINDOWS\VC_REDIST(X86).EXE
проверьте его на вирустотал
http://virustotal.com

сделайте образ автозапуска из безопасного режима системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v3.81.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE

exec "C:\Program Files (x86)\IObit\Surfing Protection\unins000.exe"
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

отключить эту опцию можно в настройках браузеров? или она опять становится активной? добавьте скриншоты настроек браузеров с этой опцией

выполните скрипт в uVS, но из под winpe&uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v3.81.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.2

OFFSGNSAVE
delref HTTPS://ERTRACE.COM/IMAGES/IMG.EBG
deltmp
delnfr
delref HTTP://GO.MAIL.RU/SEARCH?UTF8IN=1&FR=FFTBUFIX&Q=
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
для проверки очистки этой ссылки
в нормальном режиме
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

+
выполните поиск скрытых объектов по этому методу
http://chklst.ru/forum/discussion/12/metod-poiska-rutkitov-v-sisteme-po-faylu-sverki-v-uvs#Item_1

образ, полученный из под Winpe&uVS добавьте на форум

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v3.81.8 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE

exec MsiExec.exe /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

удалите все найденное в мбам, кроме этого
[QUOTE]Объекты реестра обнаружены: 1
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
[/QUOTE]

перегрузите систему, и еще раз выполните быстрый скан в малваребайт

1. удалите ярлыки браузеров на рабочем столе, и заново переделайте их.

2.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[CODE];uVS v3.81.8 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
addsgn A7679B23506A4C7261D4C4B12DBDEB5673DD44AA74B31F9041A333436316­2424A31189575AAAAD2DA2A0250B085C49717D3752A3AE2583FE781FBE29­8D06468C 8 a variant of Win32/CoinMiner.DV

zoo D:\OPENVG.EXE

;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://HOME.WEBALTA.RU/?START

; Java™ 6 Update 35
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216035FF} /quiet

deltmp
delnfr
;-------------------------------------------------------------

regt 5
CZOO
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

понятно, теперь, заражение идет у вас с флэшки. скрипт по новому образу сейчас напишу.