по логу AdwCleaner.

нажмите на кнопку delete в программе.
найденные объекты будут удалены, и система автоматически перегрузится.

по мбам и ноду.

если вы установили только сканер и отказались от пробного периода (для монитора),
тогда можно оставить мбам,
в противном случае надо будет удалить мбам.

+
сделайте лог в программе AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

на вебалту все рано уходит после очистки системы в малваребайт?

проверьте ярлыки запуска браузеров, там иногда прописывается стартовая вебалты.

логи мбам надо добавить в сообщение для полноты картины заражения.

если пользовались платежными  кошельками то имеет смысл поменять пароли.

далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
setdns Подключение по локальной сети 2\4\{B95DB552-FCFE-43D3-9284-2F14FEAFC02B}\
setdns Подключение по локальной сети\4\{FEB0F2D9-A472-404A-A0DA-FA01AE066499}\
delall %SystemDrive%\USERS\ВЛАД\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
delref HTTP://DASEARCH.RU
deltmp
delnfr
EXEC cmd /c"ipconfig /flushdns"
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216022FF}
exec MSIEXEC.EXE /X{0965F857-DAAD-4F93-8054-0E2EC3C8C5B0}
exec MSIEXEC.EXE /X{5B58EF61-85F2-4977-97A5-84C19F926579}
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
addsgn A7679BC9DE37442480A1A2E6EFB50280D3FFF575B4BE6A2795C32E9AD328­703826943D554B773CF551DF941A866240AD2B8C17A2D01AC4207A21F7C7­20F8DD8C 64 majachok.0207
zoo %Sys32%\FFLBTME.DLL
delref %Sys32%\FFLBTME.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\UTYRK\AHEW.EXE
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
deltmp
delnfr
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

образ автозапуска системы с локером.
http://rghost.ru/43609720

win32.exe попал в подозрительные.
https://www.virustotal.com/file/3a263306f4a2faccf53370bba8418dcfad8e30d5174069351f2­20332f25ad2ee/analysis/1360212088/

[QUOTE]Полное имя C:\WINDOWS\WIN32.EXE
Имя файла WIN32.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
SHELL.EXPLORER (ССЫЛКА ~ \WINLOGON\SHELL)(1) AND (SHELL !~ EXPLORER.EXE)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 457728 байт
Создан 03.02.2013 в 01:15:30
Изменен 03.02.2013 в 01:15:30
Атрибуты СКРЫТЫЙ
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла "Скрытый" или "Системный" [типично для вирусов]
Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами

Доп. информация на момент обновления списка
SHA1 80DDCEA4BE7E84AEA19E3A74D91B7E2215D760A3
MD5 044A5DECD4CEDE3EFEBDF128163DD416

Ссылки на объект
Ссылка HKLM\ddqsjfscs\Software\Microsoft\Windows\CurrentVersion\Run­\win32.exe
win32.exe C:\Windows\win32.exe

Ссылка HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Shell C:\Windows\win32.exe

[/QUOTE]

в вот второй объект надо смотреть в основном автозапуске.
https://www.virustotal.com/file/e3d378336cdbceed9ae7068cfa59e6919fd0a7c3e3af3e59726­ff8f6298e32f9/analysis/1360212215/

[QUOTE]Полное имя C:\TEST\WLOCKOK\SKYPEE\SKYPE.EXE
Имя файла SKYPE.EXE
Тек. статус в автозапуске

Сохраненная информация на момент создания образа
Статус в автозапуске
Размер 495609 байт
Создан 07.02.2013 в 06:59:06
Изменен 03.02.2013 в 01:22:37
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Версия файла 6.1.67.129
Описание Skype 6.1.67.129 Installation
Copyright Skype Technologies
Производитель Skype Technologies
Комментарий

Доп. информация на момент обновления списка
SHA1 26FCF53FBE693D590EF68DDA29D7655EC1368E49
MD5 417A316B8DD7723D507F0BDA00462848

Ссылки на объект
Ссылка C:\DOCUMENTS AND SETTINGS\SAFETY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\SKYPE.LNK[/QUOTE]

образ автозапуска сделан для текущей winpe системы
[QUOTE]X:\WINDOWS\EXPLORER.EXE[/QUOTE]
1. необходимо выбрать каталог системы с жесткого диска, затем уже выбирать - текущий пользователь.

2. используйте актуальный uVS 3.77
http://rghost.ru/42696551

вместо вашего сейчас 3.73
[QUOTE]uVS v3.73: Windows ™ Code Name "Longhorn" Preinstallation Environment x86 (NT v6.1) build 7601 Service Pack 1 [X:\WINDOWS][/QUOTE]

или актуальный образ winpe&uVS (с uVS 3.77)
http://chklst.ru/forum/discussion/61/winpeuvs

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
delall %SystemDrive%\AUTORUN.INF
delall %SystemDrive%\USERS\МАРИЯ\APPDATA\LOCAL\YANDEX\UPDATER\PRAET­ORIAN.EXE
delref HTTP://YUWIK.RU/
deltmp
delnfr
exec "C:\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
regt 14
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\1141817.EXE
delref HTTP://BROWSERHELP2.RU
fixvbr C: 5
deltmp
delnfr
REGT 14
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/