лучше вначале проконсультироваться с хелперами по поводу того, что можно удалить в мбам, а что оставить.
---------
деинсталлируйте теперь малваребайт

и выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

удалите найденное в мбам,

перегрузите систему,

и сделайте новый образ автозапуска.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
deltmp
delnfr
; Java™ 6 Update 35
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216035FF} /quiet

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\UPDATER\YUPDAT­E-CTRL.EXE
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
(malwarebytes обновите до 1.75)
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DOCUMENTS\APPLICATION DATA\EXPLORER.EXE
addsgn A7679BF0AA02E4824BD4C635A2881261848AFCF689AA7BF1A0C3C5BC5055­9D14704194DE5BBD625C7F70C49F75C4C32EF4CA04E314DA3BE4AC965B2F­C706AB7E 8 Worm:Win32/Dorkbot.AS [Microsoft]
bl CC1D302DD393B6B84DCFDF01E0C9AAD4 81920
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\DOCUMENTS\APPLICATION DATA\EXPLORER.EXE
hide %SystemDrive%\PROGRAM FILES\SYSTEM\CPL BONUS\WHATINSTARTUP.EXE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­INTERNET EXPLORER\QIPSEARCHBAR.DLL
delref HTTP://WWW.4FREE.IN.UA/INDEX.PHP
deltmp
delnfr
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

это непринципиально.
или все условия в одном критерии , или существуют три отдельных критерия: corkow.1, corkow.2, corkow,3 и все рядышком в списке.
(тем более, что без логических скобок их невозможно объединить.)

достаточно чтобы отдельный критерий перехватывал один из вариантов трояна.

скажем через сетку из трех данных критериев может просочиться только четвертый вариант Corkow - тот, что стартует через rundll32

(если будет реализован рекурсивный критерий, тогда можно будет оптимизировать критерии.)

ок, тогда закрываю тему.

да, интерактивный режим фаерволла удобнее и безопаснее чем автоматический, если вы можете настроить правила для необходимых вам программ.

только этот айпишник попадает в логи?

сделайте это

[QUOTE]далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/[/QUOTE]