выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\E06B69.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
delref COPY
deltmp
delnfr
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216025FF}
uidel "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
regt 14
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

далее, выполните сканирование в мбам

под защитой hosts я имею ввиду это правило
http://forum.esetnod32.ru/messages/forum9/topic3141/message61767/#message61767

[B]w21life,[/B]
не хочется здесь затевать очередное "соревнование" с Касперским, но судя по разделу
http://forum.kaspersky.com/index.php?showforum=186
решено далеко не все.

в мбам удалите все найденное кроме
[QUOTE]Объекты реестра обнаружены: 1
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предприня[/QUOTE]
и сделайте новый образ автозапуска.
день прошел, и ночь простояла, всякое могло случиться за это время.

возможно, к защите hosts следует добавить правило защиты записи в файл
(блокировать запись в файл для данного каталога)

[QUOTE]C:\WINDOWS\Tasks\*.*[/QUOTE]

чтобы избежать добавления заданий такого рода

[QUOTE]Полное имя COPY
Имя файла COPY
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
VOLTAR.JOB (ССЫЛКА ~ .JOB)(1) AND (ЗНАЧЕНИЕ ~ \TEMP\)(1)
HOSTS.TASKS ( ~ \ETC\HOSTS /)(1)

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка C:\WINDOWS\TASKS\AT1.JOB
Значение "cmd.exe" /c copy C:\Users\acer\AppData\Local\Temp\130817446FdOh C:\Windows\system32\drivers\etc\hosts /Y

Ссылка C:\WINDOWS\TASKS\AT2.JOB
Значение "cmd.exe" /c copy C:\Users\acer\AppData\Local\Temp\822574661FdOh C:\Windows\system32\drivers\etc\hosts /Y

Ссылка C:\WINDOWS\TASKS\AT3.JOB
Значение "cmd.exe" /c copy C:\Users\acer\AppData\Local\Temp\824358298FdOh C:\Windows\system32\drivers\etc\hosts /Y

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT1

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT2

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT3
[/QUOTE]

удалите найденное в мбам,
перегрузите систему,
и еще раз выполните быстрое сканирование с мбам

можно в эту тему добавить конкретные предложения по работе с HIPS
http://forum.esetnod32.ru/forum9/topic8267/
тем более, что в данной статье уже есть систематизированная информация.

скорее всего по работе с HIPS надо отдельную тему открывать, чтобы в ней фиксировать текущие проблемы и предложения. обратная связь по этому топику с разработчиками ESET достаточно низкая.

лог чистый,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/