Понятно. Вот, что получилось.
Жду экспертного решения (уже вторые сутки:)

тел вируса больше не вижу
самочувствие, как я понимаю, не меняется?
от симантека чистились?

Да, чистился. Самочувствие не меняется. По-любому какая-то гадость в реестре сидит (я так думаю).
Да, вот что ещё: не работает автоматическое обновление системы, хотя все причастные службы стартуют автоматически вместе с системой.

давайте лог комбо повторим и лог МВАМ

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению." (http://safezone.cc/forum/showthread.php?t=2773)

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

для автоматического обновления
Скопируйте этот текст в болкнот, сохраните под любым именем с расширением .reg , дважды кликните по файлу и подтвердите добавление.
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Автоматическое обновление WSUS /Сборка 2.0.0.2472/"
"ObjectName"="LocalSystem"
"Description"="Загрузка и установка обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Windows Update."
"Group"=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,\
00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum]
"0"="Root\\LEGACY_WUAUSERV\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate]
"AccountDomainSid"=hex:01,04,00,00,00,00,00,05,15,00,00,00,cd,7c,41,66,fe,26,\
c6,48,07,e5,3b,00,2b
"SusClientId"="cfea1a9c-1b20-4060-a8b5-a57bcdd1b2e3"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"AUOptions"=dword:00000001
"AUState"=dword:00000007
"ResetAU"=dword:00000001
"ConfigVer"=dword:00000001
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:0000000a
"NextDetectionTime"=""
"ScheduledInstallDate"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting]
"BatchFlushAge"=dword:00001283
"SamplingValue2"=dword:00000240
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache\3da2 1691-e39d-4da6-8a4b-b43877bcb1b7]
"CurrentCacheFile"="%systemroot%\\SoftwareDistribution\\EventCache\\{066D8021-ADCD-4229-8789-A3261C8130D6}.bin"
"FlushCacheFiles"=hex(7):00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Services]
"DefaultService"="7971f918-a847-4430-9279-4a52d1efe18d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Services\7971f918-a847-4430-9279-4a52d1efe18d]
"AuthorizationCab"="muauth.cab"

Добрый день, SolarSpark. Сейчас займусь.

Логи:

c:\windows\system32\spoolsv.exe . . . is infected!!
c:\windows\explorer.exe . . . is infected!!

Проверьте сами на http://www.virustotal.com

D:\gsyoc.pif - тело вируса(( не долечились что ли? Надо лечиться
пока такие файлы будем находить-все бесполезно

Стартанул с загрузочного диска Win7, подменил вышеуказанные exe-файлы на оригинальные с дистрибутива. Те, что были, проверил на Virustotal, действительно были "с подмоченной репутацией". D:\gsyoc.pif - тело вируса(( не долечились что ли? Надо лечиться
пока такие файлы будем находить-все бесполезно »Сам удивился, увидев это. Удалил при помощи командной строки того же диска, пока не воскрес.
Смущает вот что: чуть ли не на каждом шагу работы Combofix'а система выкидывает окна с предупреждением, что приложение C:/Combofix/ATTRIB.cfxxe не является приложением Win32. На своих компах проверил - нет такого. Либо сказывается заражение, либо Win7 виновата. Установить, что ли для эксперимента себе эту ось? В новом логе Combofix заражений нет. Решил для интереса установить набор обновлений на Win7, содержащий как раз помимо прочего и новую версию explorer.exe и spoolsv.exe. Выполняемый файл установки ругнулся на отсутствие целой череды файлов в windows\system32\. Это: wusa.exe, pkgmgr.exe, expand.exe. Сейчас попробую с загрузочного диска "скормить" их системе, поскольку из-под самой ОС это не удаётся сделать ("файл уже используется". Кем это?). О результатах доложу завтра.
Выяснилось, что и из-под загрузочного диска это не удаётся сделать. Что-то там с доступом.

правильное решение, попробуйте после всех действий еще раз LiveCD и VirutKiller

правильное решение, попробуйте после всех действий еще раз LiveCD и VirutKiller »Мерси-с. VirutKiller в данный момент в процессе. LiveCD чуть позже, поставлю на ночь. Я вот думаю: допустим, вирь или NOD32 всё-таки удалили кое-что из system32, почему же нет в семерке нечто похожего на SFC той же XP? Судя по разным логам в системе отсутствуют несколько exe-файлов. Что же теперь: по одному их "скармливать" в систему?
Тольо что на сайте Касперского обнаружил, что вышла новая версия VirutKiller'а - 1.0.9.0. Вышла 01.08 (может мой запрос в службу поддержки зарегистрированных пользователей повлиял?). Предыдущая (1.0.8.0) датировалась мартом этого года, а это о многом говорит. Перезапускаем проверку...

Что же теперь: по одному их "скармливать" в систему?

Можно запустить переустановку системы в режиме восстановления (во всяком случае в XP была такая возможность), после этого удалятся все точки восстановления и придется заново устанавливать все обновления системы, установленные программы и пользовательские файлы и настройки затронуты не будут.

Мысль. В этом-то режиме не должно возникнуть проблем с доступом к жизненно важным файлам. А всё-таки хочется поставить себе 7 и сравнить с заболевшей системой.

почему же нет в семерке нечто похожего на SFC той же XP? »

С чего взяли что нет?

Особенности работы средства проверки системных файлов (SFC.exe) в среде Windows RE (http://www.oszone.net/12548/SFC_in_WinRE)

С чего взяли что нет? »
Просто неправильно выразился. В приведенной ссылке как раз рассматривается решение проблемы, с которой, собственно, я и столкнулся.

Возвращаемся к нашим баранам. После длительного сканирования DrWeb Live (и не одного, + снял HDD и проверил при помощи Emsisoft на своём компе) продолжаем лечение. Уж очень достойной мне показалась эта продукция (Emsisoft). Кстати говоря, это один из двух/трёх антивирусных продуктов, которые однозначно указали на заражение вышеупоминавщихся файлов explorer.exe и spoolsv.exe на VirusTotal. Кажется, гадость больше не размножается, но антивирусы по-прежнему не устанавливаются. AVZ так и ругается на маскировку процессов. Прикладываю логи AVZ и, на всякий, отчет Emsisoft (кому интересно).

AVZ так и ругается на маскировку процессов »
для семерки это нормально

по отчету Emsisoft » вижу все тот же вирут..
заново применяем VirutKiller.exe http://support.kaspersky.ru/faq/?qid=208636998 , до кучи после него SalityKiller.exe http://support.kaspersky.ru/faq/?qid=208636131 . хуже не будет

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://safezone.cc/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://safezone.cc/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('c:\users\7272~1\appdata\local\temp\qsyn.exe','');
DeleteFile('c:\users\7272~1\appdata\local\temp\qsyn.exe');
DeleteService('QSYN');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.



После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы. В теле письма укажите свой ник на форуме и ссылку на тему

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

для семерки это нормально »Понятно.заново применяем VirutKiller.exe http://support.kaspersky.ru/faq/?qid=208636998 , до кучи после него SalityKiller.exe http://support.kaspersky.ru/faq/?qid=208636131 . хуже не будет »Да куда уж хуже;))) Скоро займусь.
Так. VirutKiller новой версии ничего не нашёл. Продолжаем с Sality..

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" »Не получилось. Ругается на отсутствие файла, хотя тот на рабочем столе. Удалил вручную. Ничего?

Вот же зараза. Превысил 1Мб вложений. Вот остальные:

Не получилось. Ругается на отсутствие файла, хотя тот на рабочем столе. Удалил вручную. Ничего? »
Запустите OTCleanIt, нажмите Clean up.

Проведите полную проверку свежим Dr.Web CureIt! (http://msk.drweb.com/pub/drweb/cureit/20110820183351/cureit.exe) из безопасного режима.

Какому устройству в вашей системе присвоена буква F?