а где ты здесь увидел dll, я не нашел в образе. или в другом месте?

скорее всего так и есть. я тоже это заметил.
но в этом скрипте exp.exe живой, хотя может и восстановился, просто на диске лежал, а не запустился.
(в образе из безопасного его уже не было)
[QUOTE]zoo %SystemDrive%\USERS\СЕМЬЯ\DOCUMENTS\APPDATA\EXP.EXE
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\USERS\СЕМЬЯ\DOCUMENTS\APPDATA\EXP.EXE
Файл скопирован в ZOO: C:\USERS\СЕМЬЯ\DESKTOP\ЦЦЦЦ\ZOO\EXP.EXE._A5CBD30A5E987F03220721B35F7D62FA1389E4F9
--------------------------------------------------------[/QUOTE]

добавьте лог выполнения скрипта из папки uVS
файл с именем дата_времяlog.txt

и лог сканирования в ESET NOD32 только оперативной памяти.

добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
+
добавьте образ автозапуска из безопасного режима системы

чисто,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v3.81.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://ALT-RUTOR.ORG

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

для полной очистки системы
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

выполните в uVS функцию (из меню)
дополнительно - сбросить атрибуты для всех файлов/каталогов в...

+ проверьте эту программу на ВирусТотал
http://virustotal.com
[QUOTE]C:\PROGRAM FILES (X86)\INTEL\INTELSETUP.EXE[/QUOTE]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[CODE]
;uVS v3.81.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\WINDOWS NT\PHOENIX.EXE
addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE­614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F­879F2306 8 Trojan.BtcMine.142 [DrWeb]

addsgn 1A3D6F9A5583C58CF42B254E3143FE6DA9E7BCF676EF9B18C5C3407C24C3­19304E57C307C1401D296B80015F3213B68F7520382F96514F79A69B5B5A­CFEEEA8C 8 BackDoor.IRC.NgrBot.42 [DrWeb]

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\JEQKQT.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\SCREENSAVERPRO.SCR
adddir %SystemDrive%\USERS\USER\APPDATA\ROAMING
delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
delall H:\AUTORUN.INF
bl D38AEEDA5D1638E25715A2B67D44BA7D 6639870
bl CB70FD062B31FF647089DD95AD7D2169 123904
;------------------------autoscript---------------------------

chklst
delvir

delref G:\PROGRAM FILES\MAGENT.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/