выполняем скрипт в uVS (в нормальном режиме):
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v3.80.13 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\RAR$EX33.392\PLUGINS\HELPER\ALSRVN.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA
crimg
[/code]
без перезагрузки, добавьте образ автозапуска, который будет создан автоматически

да, перегрузиться в безопасный режим, и сделать образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

[QUOTE]Виталий Цесарский пишет:
Могу вот так
Журнал проверки
Версия базы данных сигнатур вирусов: 8596 (20130722)
Дaтa: 22.07.2013  Время: 22:24:54
Просканированные диски, папки и файлы: Оперативная память;C:\Загрузочный сектор;C:\
C:\Documents and Settings\Admin\4260976.exe - модифицированный Win32/Injector.AJVO троянская программа - очищен удалением - изолирован [1]
[/QUOTE]
вот это то, что надо.

теперь сделайте образ автозапуска из безопасного режима системы.

[B]Виталий[/B], мне нужен лог сканирования, а не рисунок с местом откуда вы его берете.

показываю еще раз. проделайте все по рисунку - это не сложно.

[IMG]http://s004.radikal.ru/i206/1307/80/e5959f609ef6.jpg[/IMG]

что это за рисунок? проделайте такую операцию как на рисунке

[IMG]http://s017.radikal.ru/i438/1307/c0/75860931a195.jpg[/IMG]

далее, правой кнопкой мыши выбираем - копировать лог.

вот такой развернутый лог сканирования нужен.

он должен быть в логе журнала сканирований. (а не журнале угроз),

в журнал угроз попадает только то, что находит антивирусный монитор, или стартап сканер.

в таком виде нужен последний лог сканирования

[QUOTE]Scan Log
Version of virus signature database: 8596 (20130722)
Date: 22.07.2013  Time: 21:15:29
Scanned disks, folders and files: Operating memory
Operating memory » \\?\D:\SOFT\FOR_ERD_COMMANDER_DISK\UNIVERSAL VIRUS SNIFFER 3.80.13\klqzme - error opening [4]
Number of scanned objects: 401
Number of threats found: 0
Time of completion: 21:15:57  Total scanning time: 28 sec (00:00:28)

Notes:
[4] Object cannot be opened. It may be in use by another application or operating system.[/QUOTE]

добавьте детальный лог последнего сканирования. (чтобы можно было видеть, что именно и где сканер обнаруживает, а не просто цифирку 1)

[QUOTE]Виталий Цесарский пишет:
Вирус ушел, другой появился C:\Documents and Settings\Admin\4260976.exe - модифицированный Win32/Injector.AJVO троянская программа - очищен удалением - изолирован. Вчера был очищен удалением, сегодня на месте[/QUOTE]

возможно, второй троян проявляет активность

да со ссылкой что то проблема на форуме

[QUOTE]When executed, the trojan copies itself into the following location:

   %profile%\­%variable%.exe

A string with variable content is used instead of %variable% .

In order to be executed on every system start, the trojan sets the following Registry entry:

   [HKEY_CURRENT_USER\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run]
       "MSConfig" = "%profile%\­%variable%.exe"

The trojan runs the following process:

   svchost.exe

The trojan creates and runs a new thread with its own code within these running processes.

After the installation is complete, the trojan deletes the original executable file.
Other information

Win32/Tofsee.AX is a trojan that is used for spam distribution.

The trojan acquires data and commands from a remote computer or the Internet.

The trojan contains a list of (9) URLs. The HTTP, SMTP protocol is used.

It can execute the following operations:

   download files from a remote computer and/or the Internet
   run executable files
   send spam

The trojan checks for Internet connectivity by trying to connect to the following servers:

   google.com
   mail.ru
   microsoft.com
   yahoo.com

more info

The trojan keeps various information in the following Registry keys:

   [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­DeviceControl\­DevData]
   [HKEY_CURRENT_USER\­SOFTWARE\­Microsoft\­DeviceControl\­DevData]

The trojan may create the following files:

   %windir%\­Temp:temp
   %profile%\­Application Data\­desktop.ini:init
   %profile%\­Local Settings\­Application Data\­Microsoft\­Windows\­UsrClass.dat.tmp[/QUOTE]

судя по журналу угроз, новых детектов сегодня нет.

[QUOTE]21.07.2013 10:19:13 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = wordpad.exe(320) модифицированный Win32/Spy.Agent.OEI троянская программа очистка невозможна
21.07.2013 10:19:04 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = wordpad.exe(320) модифицированный Win32/Spy.Agent.OEI троянская программа очистка невозможна MICROSOF-F5F7A5\Admin
21.07.2013 1:55:46 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = wordpad.exe(716) модифицированный Win32/Spy.Agent.OEI троянская программа очистка невозможна MICROSOF-F5F7A5\Admin
21.07.2013 1:39:05 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = wordpad.exe(1536) модифицированный Win32/Spy.Agent.OEI троянская программа очистка невозможна MICROSOF-F5F7A5\Admin
21.07.2013 1:11:59 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = wordpad.exe(504) модифицированный Win32/Spy.Agent.OEI троянская программа очистка невозможна MICROSOF-F5F7A5\Admin
21.07.2013 1:11:59 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = C:\WINDOWS\system32\svchost.exe модифицированный Win32/Tofsee.AX троянская программа очистка невозможна MICROSOF-F5F7A5\Admin [/QUOTE]

добавьте образ автозапуска из безопасного режима системы, может там будет картинка другая.