[rzdpasha]

Понятно. Вот, что получилось.
Жду экспертного решения (уже вторые сутки

[SolarSpark]

тел вируса больше не вижу
самочувствие, как я понимаю, не меняется?
от симантека чистились?

[rzdpasha]

Да, чистился. Самочувствие не меняется. По-любому какая-то гадость в реестре сидит (я так думаю).
Да, вот что ещё: не работает автоматическое обновление системы, хотя все причастные службы стартуют автоматически вместе с системой.

[SolarSpark]

давайте лог комбо повторим и лог МВАМ

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

для автоматического обновления
Скопируйте этот текст в болкнот, сохраните под любым именем с расширением .reg , дважды кликните по файлу и подтвердите добавление.

Код:

Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
    "Type"=dword:00000020
    "Start"=dword:00000002
    "ErrorControl"=dword:00000001
    "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
    74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
    00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
    6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
    "DisplayName"="Автоматическое обновление WSUS /Сборка 2.0.0.2472/"
    "ObjectName"="LocalSystem"
    "Description"="Загрузка и установка обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Windows Update."
    "Group"=""
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
    "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
    00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
    77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,\
    00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security]
    "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
    00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
    00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
    05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
    20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
    00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
    00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum]
    "0"="Root\\LEGACY_WUAUSERV\\0000"
    "Count"=dword:00000001
    "NextInstance"=dword:00000001

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate]
    "AccountDomainSid"=hex:01,04,00,00,00,00,00,05,15,00,00,00,cd,7c,41,66,fe,26,\
    c6,48,07,e5,3b,00,2b
    "SusClientId"="cfea1a9c-1b20-4060-a8b5-a57bcdd1b2e3"
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
    "AUOptions"=dword:00000001
    "AUState"=dword:00000007
    "ResetAU"=dword:00000001
    "ConfigVer"=dword:00000001
    "ScheduledInstallDay"=dword:00000000
    "ScheduledInstallTime"=dword:0000000a
    "NextDetectionTime"=""
    "ScheduledInstallDate"=""
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting]
    "BatchFlushAge"=dword:00001283
    "SamplingValue2"=dword:00000240
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache\3da21691-e39d-4da6-8a4b-b43877bcb1b7]
    "CurrentCacheFile"="%systemroot%\\SoftwareDistribution\\EventCache\\{066D8021-ADCD-4229-8789-A3261C8130D6}.bin"
    "FlushCacheFiles"=hex(7):00,00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Services]
    "DefaultService"="7971f918-a847-4430-9279-4a52d1efe18d"
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Services\7971f918-a847-4430-9279-4a52d1efe18d]
    "AuthorizationCab"="muauth.cab"

[rzdpasha]

Добрый день, SolarSpark. Сейчас займусь.

[rzdpasha]

Логи:

[SolarSpark]

Цитата:

c:\windows\system32\spoolsv.exe . . . is infected!! c:\windows\explorer.exe . . . is infected!!

Проверьте сами на http://www.virustotal.com

D:\gsyoc.pif - тело вируса(( не долечились что ли? Надо лечиться
пока такие файлы будем находить-все бесполезно

[rzdpasha]

Стартанул с загрузочного диска Win7, подменил вышеуказанные exe-файлы на оригинальные с дистрибутива. Те, что были, проверил на Virustotal, действительно были "с подмоченной репутацией".

Цитата SolarSpark:

D:\gsyoc.pif - тело вируса(( не долечились что ли? Надо лечиться пока такие файлы будем находить-все бесполезно »

Сам удивился, увидев это. Удалил при помощи командной строки того же диска, пока не воскрес.
Смущает вот что: чуть ли не на каждом шагу работы Combofix'а система выкидывает окна с предупреждением, что приложение C:/Combofix/ATTRIB.cfxxe не является приложением Win32. На своих компах проверил - нет такого. Либо сказывается заражение, либо Win7 виновата. Установить, что ли для эксперимента себе эту ось? В новом логе Combofix заражений нет. Решил для интереса установить набор обновлений на Win7, содержащий как раз помимо прочего и новую версию explorer.exe и spoolsv.exe. Выполняемый файл установки ругнулся на отсутствие целой череды файлов в windows\system32\. Это: wusa.exe, pkgmgr.exe, expand.exe. Сейчас попробую с загрузочного диска "скормить" их системе, поскольку из-под самой ОС это не удаётся сделать ("файл уже используется". Кем это?). О результатах доложу завтра.
Выяснилось, что и из-под загрузочного диска это не удаётся сделать. Что-то там с доступом.

[alex_sev]

правильное решение, попробуйте после всех действий еще раз LiveCD и VirutKiller

[rzdpasha]

Цитата alex_sev:

правильное решение, попробуйте после всех действий еще раз LiveCD и VirutKiller »

Мерси-с. VirutKiller в данный момент в процессе. LiveCD чуть позже, поставлю на ночь. Я вот думаю: допустим, вирь или NOD32 всё-таки удалили кое-что из system32, почему же нет в семерке нечто похожего на SFC той же XP? Судя по разным логам в системе отсутствуют несколько exe-файлов. Что же теперь: по одному их "скармливать" в систему?
Тольо что на сайте Касперского обнаружил, что вышла новая версия VirutKiller'а - 1.0.9.0. Вышла 01.08 (может мой запрос в службу поддержки зарегистрированных пользователей повлиял?). Предыдущая (1.0.8.0) датировалась мартом этого года, а это о многом говорит. Перезапускаем проверку...