Помогите...

Сразу скажу, что не могу приложить ничего, поскольку avz и HijackThis не запускаются, не переименовываются, а avz даже не распаковывается полностью, при попытке поставить еще раз. Теперь суть - вирус блокирует все антивирусы, как и попытки их установки. И безопасный режим тоже. Однако на сайты производителей антивирусов захожу без проблем. Выполняет еще какие-то действия, но что именно - понять не могу. Какое-то время, например, через пару минут после загрузки переставала определяться звуковая карта. Через несколько часов включился снова - теперь работает. Антивирусы по-прежнему не реагируют. CureIt запустился, но сразу с началом сканирования - вылет.
Вот как-то так...

Попробуйте этот авз [url]http://rapidshare.de/files/47208693/explorer.pif.html[/url]

И этот не запускается. Просто не реагирует на нажатие. А обычный avz повисает при попытке запуска.

Скачайте этот AVZ [URL="http://rapidshare.com/files/231459517/special_avz.zip"]http://rapidshare.com/files/231459517/special_avz.zip[/URL] и запустите bat-файл в этой папке.
Если не получится, то выполните это [URL="http://virusinfo.info/showthread.php?t=40120"]http://virusinfo.info/showthread.php?t=40120[/URL]

Вот. Хоть что-то получилось.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL','');
QuarantineFile('C:\explorer.pif','');
QuarantineFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\wfsintwq.sys','');
QuarantineFile('C:\WINDOWS\system32\wintems.exe','');
QuarantineFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\m\flec006.exe','');
QuarantineFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\winupgro.exe','');
DeleteFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\winupgro.exe');
DeleteFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\m\flec006.exe');
DeleteFile('C:\WINDOWS\system32\wintems.exe');
DeleteFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\wfsintwq.sys');
DeleteFile('C:\explorer.pif');
DeleteFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL');
DeleteFile('F:\explorer.pif');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=46322[/url]).
Сделайте новые логи.

Карантин отправил.

[QUOTE=xuwrlazv;406019]Карантин отправил.[/QUOTE]
Нет вашего карантина. Пришлите повторно по указанной ссылке!

А зверек у вас поселился непростой.
Найдите возможность воспользоваться другим ПК и сделать такой диск: [URL]http://www.freedrweb.com/livecd[/URL]. Если полная проверка с помощью этого диска не даст результата, то загрузившись с него надо вручную найти и удалить следующие файлы:

C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\winupgro.exe
C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\m\flec006.exe
C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\wfsintwq.sys
C:\WINDOWS\system32\wintems.exe

После этого сделать новые логи.

Итак...
1. Проверка LiveCD ничего не дала. (кстати графический режим не запустился)
2. Указанные файлы удалил. После перезапуска winupgro.exe восстановился, стал виден в процессах, из которых безболезненно удалялся. Остальные удаленные не восстановились.
3. Свежескачанные avz и HijackThis успешно запустились, ими были сделаны все необходимые логи.
4. Перед отправкой решил проверить что там с безопасным режимом. При попытке его запустить — все как раньше — бсод/перезагрузка. Все удаленные файлы, кроме wintems.exe снова восстановились, avz и HijackThis снова перестали запускаться.

Были повторены пункты 2-3, сделаны новые логи, которые и выложил.

И, как я понимаю, повторная отправка карантина так же была безуспешной?

(Гугл, кстати, на winupgro.exe выдал массу идентичных с моим случаем симптомов и слово Bagle, которое так же появилось в 14 из 26 результатах при проверке пресловутого winupgro.exe на virustotal. Ну это я так, к слову...)

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wintems.exe','');
QuarantineFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\m\flec006.exe','');
QuarantineFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\winupgro.exe','');
QuarantineFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\wfsintwq.sys','');
QuarantineFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\srosa2.sys','');
DeleteFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\srosa2.sys');
DeleteFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\wfsintwq.sys');
DeleteFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\winupgro.exe');
DeleteFile('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\m\flec006.exe');
DeleteFile('C:\WINDOWS\system32\wintems.exe');
DeleteFileMask('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\downld', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers', '*.*', true);
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('srosa');
BC_DeleteSvc('sK9Ou0s');
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=46322[/url]).
Сделайте новые логи.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[QUOTE=xuwrlazv;406524](Гугл, кстати, на winupgro.exe выдал массу идентичных с моим случаем симптомов и слово Bagle[/QUOTE]
Да, это очевидно свежая модификация известного червя Bagle.

Я идиот... По криворукости своей я удалил папку C:\Documents and Settings\Владелец.NT-972B54A31C97\Application Data\drivers\downld и из-за этого, вероятно, востановились все удаленные ранее файлы. wintems.exe и flec006.exe я удалил, но все, что обитает в папке drivers теперь восстанавливается полностью не зависимо от того что из них я удаляю через LiveCD.

Вы бы как нибудь все же прислали нам образцы, ни одного карантина от вас не поступило. Выполните еще раз то, что написано в сообщении #10, я скрипт немного подправил.

Карантин отправил. Это уже четвертая попытка, так что если не получится - может стоит попробовать какой-нибудь альтернативный вариант отправки?
Логи после выполнения скрипта:

Увы, никакого прогресса.
Попробуйте сделать сканирование свежим AVPtool, загрузившись с LiveCD.

[QUOTE=Bratez;406820]Увы, никакого прогресса.
Попробуйте сделать сканирование свежим AVPtool, загрузившись с LiveCD.[/QUOTE]

Не совсем понял как это можно сделать c drWeb'овского LiveCD. Графический режим у меня не запускается, а через Midnight Commander оно ведь не работает. Или вы имели ввиду какой-то другой?

[QUOTE=xuwrlazv;406988]Графический режим у меня не запускается[/QUOTE]
Странно, с чего бы это?

Кстати, в базы DrWeb'a этот зловред уже добавлен, можно просто скачать и записать новый LiveCD.

[QUOTE=Bratez;407021]Странно, с чего бы это?[/QUOTE]

Вот уж не знаю. Но при попытке запустить его выдает пару каких-то ошибок и все равно грузится в Safe mode.

[QUOTE=Bratez;407021]Кстати, в базы DrWeb'a этот зловред уже добавлен, можно просто скачать и записать новый LiveCD.[/QUOTE]

Попробую, что мне еще остается.

Запустил AVPtool из под Инфры. Нашел кучу всего, но вылечить ничего не вылечил. Вот все, что нашел:

Все, что надо он таки нашел. А почему ж не вылечил? Что сказал?

Вроде бы что не может бекап создать или что-то вроде того. Большинство можно было только пропустить.

Эх... Ну так как - будут какие-нибудь советы?

И еще разок хотелось бы поднять темку. Или ситуация настолько безнадежна?

[QUOTE=xuwrlazv;409152]Или ситуация настолько безнадежна?[/QUOTE]Мы колдовать не умеем. Попробуйте Malwarebytes Antimalware прогнать, лог потом к сообщению прикрепите.