выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[CODE]
;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\МЭЛТ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETO­RIAN.EXE
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetorian

zoo %SystemDrive%\USERS\МЭЛТ\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
addsgn 1A65719A55839B8EF42B5194406C9105DAAF40530AFAE05DD96646BCAFF3­29E9A01748A86BDE71B65E886C1EB3E9B6A3201C638D00515C71C46AA42F­C7CADD56 8 mediaget

delall %SystemDrive%\USERS\МЭЛТ\APPDATA\LOCAL\SWVUPDATER\UPDATER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\МЭЛТ\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\TOPFACE.LNK

delref HTTP://SEARCH.TICNO.COM/?C=T&Q=

delref HTTP://START.TICNO.COM?KEY=D619DF6C-2394-4CB5-9741-F30CD6E36259

delref HTTP://SEARCH.CONDUIT.COM/?CTID=CT3289075&CUI=UN28215053257282820&UM=1&SEARCHSOURCE=13
delref HTTP://SEARCH.CONDUIT.COM/?CTID=CT3289075&SEARCHSOURCE=48&CUI=UN34300061532748025&UM=1

delref IEXPLORE.EXE

delref HTTP://WEBALTA.RU/SEARCH

delref %SystemDrive%\PROGRAM FILES\TICNO\TABS\TICNOTABSBHO120618.DLL

delref %SystemDrive%\PROGRAM FILES\TICNO\TABS\UPDATER.DLL

delref %SystemDrive%\PROGRAM FILES\TICNO\TABS\SQLITE3.DLL

; Java™ 6 Update 38
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216038FF} /quiet

deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

что с проблемой?
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
dnsreset
;------------------------autoscript---------------------------

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

пароль добавьте на доступ к образу, или перезалейте без пароля

комп домашний или рабочий?
(судя по тому что вы используете Endpoint Antivirus - рабочий)
возможно, пробивает систему по сети. пробуйте закрыть доступ брэндмауэром...

Интернет Эксплорер вы используете для просмотра сайтов? похоже, по сети вам прилетает
[QUOTE]09.10.2013 17:09:03 Защита в режиме реального времени файл C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WJEAGGRY\x[1] Win32/IRCBot.AMC троянская программа очищен удалением (после следующего перезапуска) - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\svchost.exe.[/QUOTE]

причем, с одного и того же адреса.

в мбам все чисто,
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

хорошо, значит все таки оставались хвосты от Сирефеф, раз утилитка что-то нашла и удалила.

судя по новому логу угроз - новых записей не добавилось в журнал.

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

по логам выходит что все хорошо, все очищено
[QUOTE]09.10.2013 10:05:18 Защита в режиме реального времени файл C:\Program Files\Google\Desktop\Install\{32991d84-94a1-ba1d-efe7-e6e3cecdb50d}\ \ \???\{32991d84-94a1-ba1d-efe7-e6e3cecdb50d}\U\80000001.@ Win32/Sirefef.GA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке запуска файла следующим приложением: C:\WINDOWS\system32\services.exe.
09.10.2013 10:01:05 Защита в режиме реального времени файл C:\Program Files\Google\Desktop\Install\{32991d84-94a1-ba1d-efe7-e6e3cecdb50d}\ \ \???\{32991d84-94a1-ba1d-efe7-e6e3cecdb50d}\U\80000001.@ Win32/Sirefef.GA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\system32\services.exe.
09.10.2013 9:59:36 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(484) модифицированный Win32/Sirefef.FY троянская программа очищен удалением
09.10.2013 9:59:36 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = services.exe(1132) модифицированный Win32/Sirefef.GA троянская программа очищен удалением

[/QUOTE]

как на самом деле?
сделайте лог сканирования в ESET NOD32 только оперативной памяти
добавьте результат сканирования на форум.

+
сделайте проверку этой утилиткой
http://download.eset.com/special/ESETSirefefCleaner.exe

+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/