удалите в малваребайт все найденное, кроме
[QUOTE]Объекты реестра обнаружены: 1
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
[/QUOTE]
перегрузите систему,
и еще раз выполните быстрое сканирование,

если все будет чисто,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.77.13 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo G:\QHDJWGSDUFHFATS.EXE
addsgn 9252773A116AC1CC0BA4554E3341F788B9AE7C3776052EB8D5FA19C9AB90­371F4B9530513E021E8A2FD3EC263C1449ACFE1CEC21051DB32F2D75A47A­57517420 8 tr.Carberp
zoo %SystemDrive%\USERS\ЛИЛИЯ\APPDATA\LOCAL\YANDEX\UPDATER\PRAET­ORIAN.EXE
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetorian
zoo %SystemDrive%\USERS\ЛИЛИЯ\APPDATA\ROAMING\MICROSOFT\LSPOPZ.EXE
zoo %SystemDrive%\USERS\ЛИЛИЯ\APPDATA\ROAMING\SCREENSAVERPRO.SCR
delall %SystemDrive%\USERS\ЛИЛИЯ\APPDATA\LOCAL\YANDEX\UPDATER\PRAET­ORIAN.EXE
delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL
delall %SystemDrive%\USERS\ЛИЛИЯ\APPDATA\ROAMING\MICROSOFT\LSPOPZ.EXE
delall G:\QHDJWGSDUFHFATS.EXE
delall %SystemDrive%\USERS\ЛИЛИЯ\APPDATA\ROAMING\SCREENSAVERPRO.SCR
adddir %SystemDrive%\USERS\ЛИЛИЯ\APPDATA\ROAMING
chklst
delvir
deltmp
delnfr
exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216023FF}
uidel "C:\PROGRAM FILES\PANDORA.TV\PANSERVICE\UNINS000.EXE"
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.77.13 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[QUOTE]Арвид пишет:
интересно почему второй файл в образ не попадает[/QUOTE]
он не в автозапуске, но явно загружен в память... даже если через adddir добавить его, то все равно chklst &delvir (без блокирования bl) не поможет, после перезагрузки один из файлов будет в автозапуске. Возможно, сокрытие ключа использовано. надо смотреть картинку из под live.cd
---------
описание на ВирусРадаре
http://www.virusradar.com/en/Win32_Ciavax.A/description

ок,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

1. удалите пандору скриптом.
если не поможет,
2. удалите в безопасном режиме ESET antivirus утилиткой esetunistaller
http://download.eset.com/special/ESETUninstaller.exe
переустановите в нормальном режиме еще раз.

если не поможет,
3. надо искать проблемы в системе. т.е. смотреть минидампы, искать с чем конфликтует антивир.

как раз из за ПАндоры к нам приходят с проблемой,
[QUOTE]Обнаружена уязвимость скрытого канала в icmp-пакете [/QUOTE]
хотя возможно и не в ней здесь дело.
других ошибок не обнаружено.
(обычно, троян qhost приводит к такой ошибке и блокирует обновление баз, в вашем случае его нет в образе и в логе ESET sysinspector)

удалите найденное в AdwCleaner по кнопке delete
с автоперезагрузкой

далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

все таки парочка файлов создается при заражении Ciavax
[QUOTE]C:\Documents and Settings\User\My Documents\Application Data\explorer.dat 65536 2009.01.09 10:54:27.125 2009.01.09 10:54:27.125 2009.01.09 10:54:27.125 0x20
C:\Documents and Settings\User\My Documents\Application Data\explorer.exe 69632 2009.01.09 10:54:23.171 2009.01.09 10:54:23.171 2009.01.09 10:54:23.171 0x20[/QUOTE]
http://camas.comodo.com/cgi-bin/submit?file=ee0ff6c41de77dbe9ecb07a1efa24b7d7378b05b544e624b16bbd03­e2fb5c7eb

стало более понятно, почему так просто Ciavax не удаляется скриптом.
помимо файла
[QUOTE]C:\DOCUMENTS AND SETTINGS\user\МОИ ДОКУМЕНТЫ\APPLICATION DATA\EXPLORER.EXE[/QUOTE]
дополнительно в корне диска создается компаньон
[QUOTE]C:\APPLICATION DATA\EXPLORER.EXE[/QUOTE]
который так же грузится в память, и восстанавливает в автозапуске троя, после его удаления.
[IMG]http://s019.radikal.ru/i623/1305/e6/50f249156f84.jpg[/IMG]

просто удаление
[QUOTE]C:\DOCUMENTS AND SETTINGS\user\МОИ ДОКУМЕНТЫ\APPLICATION DATA\EXPLORER.EXE[/QUOTE]
не поможет, файл будет восстановлен после перезагрузки.
помогает дополнительно запрет на запуск bl, поскольку оба компонента имеют одинаковые хэши.