1. долечиваем темы здесь
http://forum.esetnod32.ru/forum6/topic10199/

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[CODE]
;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\PCHD\PCHDPLAYER.EXE
addsgn 1A466F9A5583348CF42B254E3143FE84C9A2FFF6895987D5C5C34CB1C47B­314CAA0253FA7E551454A72DC49FCF23C1573DDF614FD177F02C4BFBB19F­6A462215 8 PornTool.PCHDPlay

zoo %SystemDrive%\USERS\ИВАН\APPDATA\ROAMING\SCREENSAVERPRO.SCR
addsgn 1A85419A5583C58CF42B1691B48812C6840A74A289AC756CDB4605C9576E­714E231728510593E04EA046271FCE424990798F006562DAB07574D4C057­9306A7B3 8 Trojan.Winlock.8811 [DrWeb]

zoo %SystemDrive%\USERS\ИВАН\APPDATA\ROAMING\MICROSOFT\JUCQCZ.EXE

delall %SystemDrive%\PROGRAM FILES\ESET\CYBERMANIA.EXE
adddir %SystemDrive%\USERS\ИВАН\APPDATA\ROAMING
delall %SystemDrive%\USERS\ИВАН\APPDATA\ROAMING\JVCQCZ.EXE
delall %SystemDrive%\USERS\ИВАН\APPDATA\ROAMING\VUCQCL.EXE
bl 3DE1FB104AC1ECAB7E27CC47F4EA03DD 186880
hide %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.123\GOOPDATERES_RU.DLL
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WEBALTA.RU

delref HTTP://WEBALTA.RU/POISK

delref HTTP://WEBALTA.RU/POISK?Q=

delref HTTP://HOME.WEBALTA.RU

delref HTTP://WEBALTA.RU/SEARCH

; Java™ 6 Update 14
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216014FF} /quiet

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
----------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

хорошо,
выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[B]Арвид[/B], вторая команда здесь лишняя
[QUOTE]adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\MICROSOFT[/QUOTE]
адддир будет сканировать каталог и все покаталоги внутри

[QUOTE] o Для скриптовой команды adddir разрешено использование флага отмены рекурсии как и в случае
  параметра AddDirs.
  Пример: adddir >c:
  где ">" отменяет рекурсию и соотв. добавляются лишь файлы находящиеся в корне диска С.[/QUOTE]

[QUOTE]27.10.2013 11:32:50 Фильтр HTTP файл хттп://m.e249a6ebf27391725552f1d90f559f14.com/364/svchost.exe модифицированный Win32/BitCoinMiner.AF потенциально опасная программа соединение прервано - изолирован NT AUTHORITY\система Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Windows\System32\wscript.exe.
27.10.2013 8:11:37 Защита в режиме реального времени файл C:\Windows\TEMP\svchost.exe модифицированный Win32/BitCoinMiner.AF потенциально опасная программа удален - изолирован NT AUTHORITY\система Событие произошло в новом файле, созданном следующим приложением: C:\Windows\System32\wscript.exe.
27.10.2013 8:11:37 Защита в режиме реального времени файл C:\Windows\system32\config\systemprofile\AppData\Local\Microso­ft\Windows\Temporary Internet Files\Content.IE5\svchost[1].exe модифицированный Win32/BitCoinMiner.AF потенциально опасная программа удален - изолирован NT AUTHORITY\система Событие произошло в новом файле, созданном следующим приложением: C:\Windows\System32\wscript.exe.
[/QUOTE]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[CODE];uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\ORIGIN\UPDATE.VBE
delall %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\ORIGIN\UPDATE.VBE
;------------------------autoscript---------------------------

deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

+
вышлите все файлики из папки ZOO (добавьте в архив с паролем infected ) в почту [email protected]

сделайте образ автозапуска по инструкции
http://forum.esetnod32.ru/forum9/topic2687/

+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
addsgn 1AA4C69A55835B8CF42B161A6D8E12A60DE7BBF64EFF3315C2C362BC16D6­B649137A84575B55DB49EC85B0F20116D0FA3BDF2F776DB7F72C2277E22F­643A4F34 8 Win32/Packed.Autoit.B.Gen [NOD32]

zoo %Sys32%\CSRCS.EXE
zoo E:\SWUDGR.EXE
zoo %SystemDrive%\KVN\SWUDGR.EXE
delall E:\AUTORUN.INF
addsgn 1A85419A5583C58CF42B1691B48812C6840A74A289AC756CDB4605C9576E­714E231728510593E04EA046271FCE424990798F006562DAB07574D4C057­9306A7B3 8 Trojan.Winlock.8811 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KOI\APPLICATION DATA\TEMP.BIN
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\KOI\APPLICATION DATA
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

regt 5
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

и далее, рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

видимо, об этом речь

Специальные возможности очистки. Обнаружение комплекта из 3–5 наиболее распространенных вредоносных программ, которые являются наиболее вероятной причиной проблем

[IMG]http://s017.radikal.ru/i420/1310/e6/79c39aa4bd00.jpg[/IMG]
+
[IMG]http://s019.radikal.ru/i609/1310/fa/8f944e9b76b9.jpg[/IMG]
+
[QUOTE]The Specialized Cleaner available in ESET Smart Security and ESET NOD32 Antivirus 7 removes the following malware (more types are to be added in future releases):

Conficker
Sirefef

Details

Antivirus vendors provide standalone tools (cleaners) to help users remove particularly resilient malware. ESET has combined commonly used cleaners for the most prevalent threats into one solution that will be available with the new generation of ESET products for user convenience.

The ESET Specialized Cleaner is available directly from ESET NOD32 Antivirus and ESET Smart Security version 7 and later.
Log files

ESET Specialized cleaner logs are available from the following location (be sure to Show hidden files or folders):

C:\Program Data\ESET\ESET Smart Security\Speclean\ [/QUOTE]

http://kb.eset.com/esetkb/index?page=content&id=SOLN3322&viewlocale=en_US&locale=en_US

хорошо бы сюда добавить еще очистку [B]Carberp[/B]

хорошая утилитка от ESET
http://download.eset.com/special/ESETSirefefCleaner.exe

уже несколько раз начисто лечит активный ZAccess/Sirefef