это оставьте в АдвКлинере
[QUOTE]Folder Found C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru[/QUOTE]

остальное все удалите

далее

выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[B]как он вообще ворочается при таком заражении.[/B]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[CODE];uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\TECHNO\APPDATA\ROAMING\MICROSOFT\SYSTENN­.EXE
addsgn 1A8D779A5583358CF42BC6D1DF8C1261DABFFCF689FA943CA1D34CD074C6­FC200707E8B76D03CAE8E7EEC29F7753B5C9B88F6117BD25C5D4A63258E8­82FADC8C 8 PCK/Enigma

addsgn 35A98F9A556A4C9B4CD5AEB1010F205F638579FE89FA1F26D801C1BC069E­42C76D1F79DFB9F01DA082767B607BC8C48197561F9B34384FD3D68E4D12­2EF9DD1A 8 dork

zoo %SystemDrive%\USERS\TECHNO\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\FLASHPLAYERAPP.EXE
zoo %Sys32%\{$A18DD138-D5E8-7E4A-5608-044A0F81DDC3$}\MSCONFIG.EXE
delall %Sys32%\{$A18DD138-D5E8-7E4A-5608-044A0F81DDC3$}\MSCONFIG.EXE
addsgn 9A702DDA5582BC8DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BCEE4F­3E4938F3F11396B087D1BA6787C2461649FA7DDFE97255DABD260D578463­8B496831 8 Trojan.Winlock.10644 [DrWeb]

zoo %SystemDrive%\PROGRAMDATA\LOCAL SETTINGS\TEMP\MSVIZAYFO.PIF
addsgn A7679BF0AA02D4CD49D4C61D8A881261848AFCF689AA7BF1A0C3C5BC5055­9D14704194DE5BBD625C3B12C69F75C4C32EF4CAD0ED16DA3BE4AC965B2F­C706AB7E 8 Trojan.DownLoader9.22851 [DrWeb]

zoo %SystemDrive%\USERS\TECHNO\APPDATA\LOCAL\TEMP\0588464F.EXE
addsgn 9AB462DA5582A28DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BCF4D4­954046FC1F168D0C496A89985122461649FA7DDFE97255DAB02C2D77A42F­A56F5607 8 Trojan.Win32.Agent.acywe [Kaspersky]

zoo %SystemDrive%\USERS\TECHNO\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\TBFZTNFPLRZ.EXE
zoo %SystemDrive%\USERS\TECHNO\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\VXDDXXWZXZI.EXE
adddir %SystemDrive%\USERS\TECHNO\APPDATA\ROAMING\
addsgn A7679B235D6A4C7261D4C4B12DBDEB5476321072C9FAF7F53B3C3A8F9083­195AA457C333C165F9C00B46812F934D4FFAF08A00CA795DF02CC55066D0­388D679B 8 Trojan.PWS.Tibia.2497 [DrWeb]

zoo %SystemRoot%\SECURITY.EXE
zoo %SystemRoot%\DEDE.EXE
zoo %SystemRoot%\DRV.EXE
delall %SystemDrive%\USERS\TECHNO\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\EXPLORER.INI.URL
zoo %SystemDrive%\USERS\TECHNO\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\MACROMEDIA.COM\SUPPORT\FLASHPLAYER\SYS\RDPCLIP.EXE
delall %SystemDrive%\USERS\TECHNO\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\MACROMEDIA.COM\SUPPORT\FLASHPLAYER\SYS\RDPCLIP.EXE
addsgn 9A1463DA5582BC8DF42BAEB164C81205158AFCF6C1FA1F7885C3C5BCAB4F­6FC354EF3D11B0F2C0655DCB95BE461649FA7DDFE97255DAB02C2D77A42F­8668561A 8 Trojan.Win32.Neurevt.nv [Kaspersky]

zoo %SystemDrive%\PROGRAMDATA\TEAM VIEWER 60\XZBDJPZDDJP.EXE
addsgn 9A302DDA5582BC8DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BC828D­E8FD20FA9F1DAF7E64C2B997FE81461649FA7DDFE97255DAB02C2D77A42F­8A481542 8 Trojan.Win32.Inject.graz [Kaspersky]

zoo %SystemDrive%\PROGRAM FILES\32ENU\JREWOW.EXE
zoo %SystemDrive%\PROGRAMDATA\SAITEK0\QEPPRDYNN.EXE
delall %SystemDrive%\PROGRAMDATA\SAITEK0\QEPPRDYNN.EXE
zoo %SystemDrive%\USERS\TECHNO\APPDATA\LOCAL\OPENMIN\WINCHECK.VBS
delall %SystemDrive%\USERS\TECHNO\APPDATA\LOCAL\OPENMIN\WINCHECK.VBS
zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\INK\UK-UA\CCSETMGR.EXE
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\INK\UK-UA\CCSETMGR.EXE
delall %SystemDrive%\PROGRAM FILES\MSN GAMES\€¬Ґ­Ґ¬ Љ®А®«П - ‚ЛЎ®АЛ. Љ®««ҐЄЖЁ®­­®Ґ Ё§¤ ­ЁҐ\BASE\GUI\VIDEOS\COMAGENT.EXE
chklst
delvir

deltmp
delnfr
delref HTTPS://SEARCH.BITCRO.COM
delref HTTP://RU.REDIRECT.WRAPPER.SERVICES.ALAWAR.RU/STARTPAGE.PHP?LANG=RU&WSPV=3.0&LOCALE=RU&PID=6802
regt 5
regt 14
czoo
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

это оставьте в мбам,
[QUOTE]Объекты реестра обнаружены: 1
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
[/QUOTE]
остальное все удалите,

далее,

сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\MEDIAGET2\MEDIAG­ET.EXE
addsgn 1A65719A55839B8EF42B5194406C9105DAAF40530AFAE05DD96646BCAFF3­29E9A01748A86BDE71B65E886C1EB3E9B6A3201C638D00515C71C46AA42F­C7CADD56 8 mediaget

chklst
delvir

deltmp
delnfr
regt 5
regt 14
; Java™ 6 Update 20
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} /quiet

; Ask Toolbar
exec MsiExec.exe /I{86D4B82A-ABED-442A-BE86-96357B70F4FE} /quiet

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

как прогоните, так и пишете текст в тему.

отредактируйте ваше сообщение, оставьте две -три первых строки. или добавьте лог по ссылке

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[CODE];uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE

addsgn 1A480B9A5583C58CF42B254E329F21F39A22B0B48979238DE92384BC51A3­6CC127E2ABB77F55147143208B9F46E97979BAC71767E57AF12CA8B7D023­8185DC57 8 BackDoor.IRC.NgrBot.42 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\ADOBE\READER_SL.EXE

bl 8AB7664E58BB651294FABB52E62180D5 257024
;------------------------autoscript---------------------------

chklst
delvir

; Java™ 6 Update 16
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF} /quiet

deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

http://www.isthisfilesafe.com/sha1/8E6A6992A3C7FEC4000FA1A4D764DD597109E0B5_details.aspx

эту штука,кстати не первый раз в логах попадается, полезную функцию вряд ли выполняет... так что удаляем.
[QUOTE]C:\USERS\USER\APPDATA\ROAMING\NEWNEXT.ME\NENGINE.DLL[/QUOTE]