выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
uVS v3.80.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
deltmp
delnfr
regt 5
regt 14
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

судя по оперативке, все чисто.
[QUOTE]15.06.2013 23:29:03 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(532 8) модифицированный Win32/Dorkbot.A червь очистка невозможна [/QUOTE]

последняя актуальная угроза была день назад

[QUOTE]18.06.2013 0:07:29 Защита в режиме реального времени файл H:\ФОТО С КАМЕРЫ ЗА ДВА ГОДА.lnk Win32/Dorkbot.D червь очищен удалением - изолирован admin-ПК\admin Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe.
18.06.2013 0:07:29 Защита в режиме реального времени файл H:\ФОТО ПЕЧАТАТЬ.lnk Win32/Dorkbot.D червь очищен удалением - изолирован admin-ПК\admin Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe.
18.06.2013 0:07:28 Защита в режиме реального времени файл H:\ТИАНДЕ КАТАЛОГ.lnk Win32/Dorkbot.D червь очищен удалением - изолирован admin-ПК\admin Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe.
[/QUOTE]
образ сейчас посмотрю.

[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v3.80.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\B.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\C.EXE
[/code]
перезагрузитесь в безопасный режим, и сделайте образ автозапуска из безопасного режима

1. добавьте новый лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

2. добавьте логи выполнения скриптов из папки uVS
файлы с именем дата_времяlog.txt

3. выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[CODE]
;uVS v3.80.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
REGT 5
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\MICROSOFT\ZXTWTV.EXE
crimg
[/CODE]
без перезагрузки, добавьте образ, котоый будет создан автоматически
------------

удалите найденное в AdwCleaner по кнопке delete
автоперезагрузка,

пишем результат

удалите найденное в мбам, кроме
[QUOTE]Объекты реестра обнаружены: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
[/QUOTE]
перегрузите систему,

далее,

выполните првоерку в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

добавьте новый образ автозапуска.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[CODE];uVS v3.80.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\CAFEF9.EXE
addsgn 9252772A156AC1CC0BB4514E33231995AF8CBA7E8EBD1EA3F0C44EA2D338­8D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4­D985CC8F 8 svhost_vir
bl 9F22D076C25F3C9FFD546131C49EC030 49152
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\CAFEF9.EXE
addsgn A7679B1991DAC527FB5FBB91DE8912063086B9B489F90A348981C5BF45B2­990D239CDE5B7B179D4A36F05CDE463D54B6719DE871487E446D2DFCA1FB­25472270 8 Backdoor.Win32.Androm.xrv [Kaspersky]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\SCREENSAVERPRO.SCR
bl 9D48051D9C3E9423BCB2D19822AF9137 147968
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\SCREENSAVERPRO.SCR
hide %SystemDrive%\PROGRAM FILES\HDMS\WINPCAP_4_1_1.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\MICROSOFT\DXTWTZ.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\MICROSOFT\YXTWTU.EXE
chklst
delvir
delall TFNCKY.EXE
deltmp
delnfr
czoo
regt 5
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.80.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\МОИ ДОКУМЕНТЫ\DOWNLOADS\EI 2.58.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C2­51B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC3­8506CA82 59 Win32/Dorkbot.B
delref HTTP://WEBALTA.RU/SEARCH
addsgn A7679B1991D64F4F1712EFB14DF51A93648AD7CBF5FB5D7884FEB9BD12D6­F819E334DE5FA8149D6836083FDE461544DAB79EE873589A0E6D2D5CB90F­0D472252 8 BackDoor.IRC.NgrBot.146 [DrWeb]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\NQHYHL.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\SCREENSAVERPRO.SCR
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\NQHYHL.EXE
chklst
delvir
delref HTTP://WEBALTA.RU/SEARCH
deltmp
delnfr
; Java™ 6 Update 37
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216037FF} /quiet
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected]
----------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

по логу AdwCleaner чисто
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/