[QUOTE]отдел образования пишет:
папка зе бат расшарена. доступ имеют все
[/QUOTE]
а зачем она расшарена?
добавьте временно эту папку в исключения антивируса, и когда новый файлик упадет, посмотрите по свойствам, кто является владельцем этого файла.

таким образом определите с какой машины или от какого пользователя он падает в эту папку.

[QUOTE]16.12.2013 9:01:44 Защита в режиме реального времени файл E:\Program Files\The Bat!\Photo\Photo.exe SWF/TrojanDownloader.Agent.NDG троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: D:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe.[/QUOTE]

1. проверьте, эта папка у вас расшарена для общего доступа?

[QUOTE]E:\Program Files\The Bat!\Photo[/QUOTE]

возможно по сети червь расползается в расшаренную папку

2. это сами блокировали в hosts?
[QUOTE]127.0.0.1 www.odnoklassniki.ru[/QUOTE]

добавьте
1. лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

2. образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

переделайте образ, или перезалейте на http://rghost.ru

размер файла должен быть 1-2Мб, если в архиве, то 500-600Кб

а что у вас есть из других подключений? браузеры загружены? страницы вконтакте открыты?

2. добавьте новый образ автозапуска из [B]безопасного режима[/B]

как войти в безопасный режим
http://chklst.ru/forum/discussion/59/kak-zagruzit-sistemu-windows-v-bezopasnom-rezhime

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

если будет чисто,

выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[CODE]
;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\SCREENSAVERPRO.SCR
addsgn 1A28FF9A5583C58CF42B254E3143FE86C99AAA09FCF69235752B3755AF29­FA392B187D516EBD9BC22B80076723FD45BC7269EE22BD6E392C2DF26476­B2F72DCD 8 Win32.HLLW.Autoruner1.38636 [DrWeb]

bl 86E1641DA76FDDBC1D135532D76B5483 198144
adddir %SystemDrive%\USERS\ПК\APPDATA\ROAMING
dirzooex %SystemDrive%\USERS\ПК\APPDATA\ROAMING
delall %SystemDrive%\USERS\ПК\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://QIP.RU

delref HTTP://SEARCH.QIP.RU

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

проверил мутации Caphaw, действительно сбивается детект антивируса.

здесь уже после мутации ESET не детектирует трояна.

https://www.virustotal.com/ru/file/7a68db281f21d9f14106d751d42cd584bb35458ec6ecc9b0­2deb64cec9702d43/analysis/1386953695/

1. удалите найденное в мбам,

2. добавьте новый образ автозапуска из безопасного режима