http://forum.esetnod32.ru/messages/forum35/topic12080/message85730/#message85730

1) CHROME.DLL   Win32/Patched.NFS ( ESET )

2) А скрипт я бы такой написал.

;uVS v3.85.22 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
deldirex %SystemDrive%\USERS\ГОСТЬ\APPDATA\ROAMING\MICROSOFT\INTERNET­ EXPLORER\QUICK LAUNCH
deldirex %SystemDrive%\USERS\ГОСТЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU
deldirex %SystemDrive%\USERS\ГОСТЬ\DESKTOP
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAMDATA\VKSAVER

deldirex %SystemDrive%\PROGRAM FILES\SURPRISINGDISCOUNTS

deldirex %SystemDrive%\PROGRAMDATA\CLUICKFORSALE

deldirex %SystemDrive%\PROGRAMDATA\GREATSAVING

deldirex %SystemDrive%\PROGRAMDATA\CLICKFORSALOE

deldirex %SystemDrive%\PROGRAMDATA\PPRICEDOWNLOADERO

deldirex %SystemDrive%\PROGRAMDATA\FLEASHCOUPONU

deldirex %SystemDrive%\PROGRAMDATA\SAVINSHOOP

deldirex %SystemDrive%\PROGRAMDATA\SHHOPPERMASTER

deldirex %SystemDrive%\PROGRAM FILES\TPERFECTCOUPON

delref HTTP://SEARCH.GBOXAPP.COM/?AFF=P

bl 5103F2D8EDC9A8A89BBFD8D538230D32 1737024
delref \\?\C:\USERS\ADMIN\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
del \\?\C:\USERS\ADMIN\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\AMIGO\APPLICATION\32­.0.1709.125

bl 7701918E29359D58E39BF0F0AEBFEDDE 688424
delref \\?\C:\USERS\ADMIN\APPDATA\LOCAL\YANDEX\UPDATER2\BROWSERMANAGERSHO­W.EXE
del \\?\C:\USERS\ADMIN\APPDATA\LOCAL\YANDEX\UPDATER2\BROWSERMANAGERSHO­W.EXE

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\AMIGO\APPLICATION

deldirex %SystemDrive%\PROGRAM FILES\OPTIMIZER PRO

bl 3B81BDDED18AAF51E02F0CB6CC69F27A 78352
delref \\?\C:\PROGRAM FILES\ASSETS MANAGER\SMDMF\TBICON.EXE
del \\?\C:\PROGRAM FILES\ASSETS MANAGER\SMDMF\TBICON.EXE

deldirex %SystemDrive%\PROGRAM FILES\ZAXAR

bl 10C1D8E3173284659C3757537E134D60 6977768
delref \\?\C:\USERS\ADMIN\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE
del \\?\C:\USERS\ADMIN\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE

bl 1B98C0F857374169E84168B7210EC0E4 7241960
delref \\?\C:\USERS\ADMIN\APPDATA\LOCAL\MAILRU\MAILRUUPDATER.EXE
del \\?\C:\USERS\ADMIN\APPDATA\LOCAL\MAILRU\MAILRUUPDATER.EXE

bl 5F65D6C209792A411A774CCCA5683C9F 261416
delref \\?\C:\USERS\ADMIN\APPDATA\LOCAL\YANDEX\UPDATER2\FIXHOSTS.EXE
del \\?\C:\USERS\ADMIN\APPDATA\LOCAL\YANDEX\UPDATER2\FIXHOSTS.EXE

bl 7586B12BA0407E7A38D0419D27BB411A 488464
delref \\?\C:\PROGRAM FILES\SETTINGS MANAGER\SMDMF\DEL_DM_LL_NSK40B6.DLL
del \\?\C:\PROGRAM FILES\SETTINGS MANAGER\SMDMF\DEL_DM_LL_NSK40B6.DLL

del %SystemDrive%\USERS\PUBLIC\RECORDED TV\TRZE44F.TMP

del %SystemDrive%\USERS\PUBLIC\RECORDED TV\TRZD982.TMP

bl B25FD4DDB7CB059904C2108C24C8B00B 209384
delref \\?\C:\PROGRAM FILES\WINDOWSPLAYER\UPDATER.EXE
del \\?\C:\PROGRAM FILES\WINDOWSPLAYER\UPDATER.EXE

bl E8344257056C7F903BA488DD93E0A371 7736368
delref \\?\C:\PROGRAM FILES\WINDOWSPLAYER\WINPLAYER.EXE
del \\?\C:\PROGRAM FILES\WINDOWSPLAYER\WINPLAYER.EXE

deldirex %SystemDrive%\PROGRAM FILES\LOVIVKONTAKTE

;-------------------------------------------------------------

bl 101859FE092973933EADBACF3AC99D2D 565760
delall %SystemDrive%\PROGRAMDATA\DUEAL4ME\ESNNPXOEOKGFS5.DLL
bl 8B4796E82170E61D2FB8F1B9230D80BF 54
delall %SystemDrive%\PROGRAM FILES\OPTIMIZER PRO\HOMEPAGE.URL
bl DD01BBD8AB4B5A67DC0A402D160400FD 395264
delall %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\VG01_2\S_INST.EXE
bl DF851B3F995F729A8E1D37EC19C2401C 31893832
delall %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\38.0.2125.111\CHROME.DLL
deltmp
delnfr
restart

Откройте в текстовом редакторе файл hosts
C:\WINDOWS\system32\drivers\etc\hosts
Пропишите в файл строки:

127.0.0.1 Адрес проблемного сайта
127.0.0.1 www.Адрес проблемного сайта
127.0.0.1
127.0.0.1 www.

После
Перезагрузите PC
Доступ к проблемным сайтам будет заблокирован.
Пишем результат.

Сергей Винцукевич

Для начала.
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
[code]


;uVS v3.85.22 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
;------------------------autoscript---------------------------

chklst
delvir

del %SystemDrive%\USERS\ALIENWARE\APPDATA\LOCAL\TEMP\NSP516A.TMP\SYSTEM.DLL

delref %SystemDrive%\USERS\ALIENWARE\APPDATA\LOCAL\GOOGLE\CHROME\US­ER DATA\DEFAULT\EXTENSIONS\HANJIAJGNONAOBDLKLNCDJDMPBOMLHOA\3.0.25_0\MUSICSIG VKONTAKTE

bl 61F68A1B435A40D0AC3BC7E447DE23FD 675768
delref \\?\C:\PROGRAM FILES (X86)\VIDEO SAVER\IEEF\OBQVD4BM40.EXE
del \\?\C:\PROGRAM FILES (X86)\VIDEO SAVER\IEEF\OBQVD4BM40.EXE

delref HTTP://GIPIDE.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=232AB10625A7AA765F9CC8462E7ECF­1D
delref HTTP://MAIL.RU/CNT/10445?GP=PROFITRAF7
delref HTTP://ALIENWAREARENA.COM
bl 9DE55CCD5D167736251AE24E51C408C9 662808
delref \\?\C:\WINDOWS\SYSWOW64\RLLS.DLL
del \\?\C:\WINDOWS\SYSWOW64\RLLS.DLL

bl 58998F8D589B61A8D08279A527C28774 974616
delref \\?\C:\WINDOWS\SYSTEM32\RLLS64.DLL
del \\?\C:\WINDOWS\SYSTEM32\RLLS64.DLL

deldirex %SystemDrive%\USERS\ALIENWARE\APPDATA\LOCAL\KOMETA\PANEL

del %SystemDrive%\IEXPLORE.BAT

delref \\?\HTTP:\\SEARCHS-PAIS.RU
del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME.BAT

regt 28
regt 29
;-------------------------------------------------------------

delref %SystemDrive%\USERS\ALIENWARE\APPDATA\LOCAL\GOOGLE\CHROME\US­ER DATA\DEFAULT\EXTENSIONS\EPBDDLPPNBMKICMNJNIJPGPLLDCACHCC\1.0_0\111
delref %SystemDrive%\USERS\ALIENWARE\APPDATA\LOCAL\GOOGLE\CHROME\US­ER DATA\DEFAULT\EXTENSIONS\PDFMHAKMNMNLELKMMJJHOHOKBNLFFMAM\1.10.1_0\VIDEO SAVER
delref %SystemDrive%\USERS\ALIENWARE\APPDATA\LOCAL\MICROSOFT\START MENU\ВOЙТИ В ИНТEРНEТ.EXE HTTP://GIPIDE.RU/?UTM_SOURCE=STARTLINK03
bl 571BFEC7217952787E9B8A992A04F84F 228352
delall %SystemDrive%\PROGRAM FILES (X86)\VIDEO SAVER\TOOL\RECOVER.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBA\PDAPP\PPAPI\7EFC4B04-3506-4A77-9FF5-476F92E5830D.EXE
czoo
bl 3281583B0ECF039062D9B00DB6D8A7BD 96828
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBA\PDAPP\PPAPI\7EFC4B04-3506-4A77-9FF5-476F92E5830D.EXE
bl 4FFFC6B0105E0F8B8A5311354B9D7B7E 179171
delall %SystemDrive%\PROGRAMDATA\KRB UPDATER UTILITY\KRBUPDATER-UTILITY.EXE
bl 13D6CE8F19012271D372C700F8632ED5 3953384
delall %SystemDrive%\USERS\ALIENWARE\APPDATA\LOCAL\MAIL.RU\SPUTNIK\PTLS\6DQU2TOFKGR9.EXE
regt 27
deltmp
delnfr
restart


[/code]

-------------
Архив из папки uVS; (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: ZOO_2012-00-20_18-49-40.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

Пишем по результату.
+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

Раз проблема решена:

Выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic3998/

ESET NOD32 Smart Security 9 Beta - Скриншоты: http://www.comss.ru/screenshots/1459b.html

Алексей Мерзляков

Вы уж пишите на одном форуме.
1) Установить нужные драйвера: http://help.drp.su/
или
2) так:
Ноутбуки.
Скрытый раздел
Восстановление системы.
- По разным фирмам:
http://www.remup.ru/help/79-recovering-from-a-hidden-partition-shortcuts.html

1) Обратитесь, пожалуйста, в службу технической поддержки  ESET по адресу:  [email protected]


2) По самостоятельному восстановлению файлов: http://pchelpforum.ru/f26/t141222/2/#post1239143

1)  Malwarebytes - Да, всё, что программа нашла можно удалить.


2) Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
[code]


;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
delref SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\­.REG
delall %SystemDrive%\PROGRAM FILES (X86)\ACER\ACER VIDEO PLAYER\SWITCHUSERVIDEOKEY.BAT
delall %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\HIRU\JSSYS3.DLL
deltmp
delnfr
restart


[/code]

3) Если не поможет то.
Варианты.
а) Использовать точки восстановления системы = откат системы.
или
б) Запустить программу uVS  с _максимальными правами.
После чего:
В основном окне uVS... Файл > Восстановить системный реестр из каталога...
( И если будет найдена копия реестра - выбрать копию )

Можно выбрать корпию реестра ориентируясь по дате создания.
Если не поможет реестр от одной даты, стоит перейти к другой версии.

Если и в безопасном не получиться запустить uVS.

То ...
Выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/