из лога АВЗ
[QUOTE]AVP
Служба: Стоп, Удалить, Отключить, Удалить через BC Kaspersky Anti-Virus Service [B]Не запущен[/B] C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
Скрипт: Kарантин, Удалить, Удалить через BC
[/QUOTE]
http://virusinfo.info/showthread.php?t=104069

[QUOTE]EVE N пишет:
Action-> Ask/Block
Виря в безопасном режиме удаляет.  
Проверял на  первой бете  и Windows 7 x64, с такой блокировкой ключей реестра эта виря в обломе.  
Вот сейчас закончат разработку и наверно поставят новый "забор" то есть - Self-defense support module.  [/QUOTE]
это понятно, что ESS5 HIPS-ом должен поставить шлагбаум, но, 3 и 4 версии выходит на сегодня вылетают с треском. Да, вирусяка так же грузится в безопасном режиме.

[QUOTE]Полное имя C:\WINDOWS\SERVICES32.EXE
Имя файла                   SERVICES32.EXE
Тек. статус                 ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      1172992 байт
Создан                      20.06.2011 в 16:02:50
Изменен                     20.06.2011 в 16:02:40
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Автозапуск                  Неизвестный файл использует ключ реестра часто используемый вирусами
                           
Доп. информация             на момент обновления списка
SHA1                        88E325DCA277FFF1F37A8E59BE01CE61908DEF6C
MD5                         D2A3874D904978ED4FFAC21CF671BC10
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\wxpdrv
wxpdrv                      C:\WINDOWS\services32.exe
                           
Ссылка                      [B]HKLM\System\CurrentControlSet\Control\SafeBoot\AlternateShell[/B]
AlternateShell              services32.exe
                           
[/QUOTE]
[B]EVE N[/B], так он систему сразу перегружает в безопасный режим? (и там удаляет антивир)

[QUOTE]RP55 RP55 пишет:
Сам файл разделяемый - как боеголовка к межконтинентальной ракете ?    
[/QUOTE]
если есть инсталлятор, скиньте в лично - проверим, как он адаптируется к разным антивирусам.

удивляет следующий факт: uVS вычищает его моментально, точно так же как вирусняк зачищает текущий антивирус.

[QUOTE]RP55 RP55 пишет:

Что, тоже выдаёт там картинку: Nod НЕ NOD.jpg    
Под каждый Антивирус использует свой шаблон ?
Какой алгоритм работы?
Сам файл разделяемый - как боеголовка к межконтинентальной ракете ?    
[/QUOTE]
картинки не видел, но скорее всего да, под каждый антивир - выдает свои картинки.
некоторое время назад, было сообщение от ДрВеб - там вирусняк прибивал антивиры, и выдавал сообщение в трее по текущему, удаленному антивиру, но было это в безопасном режиме.

[B]Остальные вопросы - к нашему центру аналитики и вирусных исследований.[/B]

[QUOTE]5. процесс в автозапуске

Полное имя                  C:\WINDOWS\SYSDRIVER32_.EXE
Имя файла                   SYSDRIVER32_.EXE
Тек. статус                 ВИРУС в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      224768 байт
Создан                      22.06.2011 в 11:05:22
Изменен                     22.06.2011 в 11:04:58
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        EAB4B10A8B8F925844E26EAE472FCC48037EE8AD
MD5                         D1D4BBC13272C5BAD74AD0A42BCACA88
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sysdriver­32_.exe
sysdriver32_.exe            "C:\WINDOWS\sysdriver32_.exe" rezerv
                           
[/QUOTE]

4. запущена служба, с сетевой активностью

[quote]Полное имя C:\WINDOWS\SYSDRIVER32.EXE
Имя файла                   SYSDRIVER32.EXE
Тек. статус                 АКТИВНЫЙ ВИРУС сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
Размер                      224768 байт
Создан                      22.06.2011 в 11:05:08
Изменен                     22.06.2011 в 11:04:58
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
pid = 504                   NT AUTHORITY\SYSTEM
CmdLine                     C:\WINDOWS\sysdriver32.exe srv
Процесс создан              16:41:36 [2011.06.25]
С момента создания          00:50:23
parentid = 1164            
SYN_SENT                    109.201.247.245:4661 <-> 93.79.51.252:8080
SYN_SENT                    109.201.247.245:4683 <-> 46.55.20.111:8080
SYN_SENT                    109.201.247.245:4649 <-> 178.74.212.121:8080
SYN_SENT                    109.201.247.245:4648 <-> 94.137.222.234:8080
SYN_SENT                    109.201.247.245:4640 <-> 77.122.72.181:8080
SYN_SENT                    109.201.247.245:4653 <-> 93.78.89.40:8080
SYN_SENT                    109.201.247.245:4668 <-> 94.51.126.154:8080
SYN_SENT                    109.201.247.245:4667 <-> 90.130.135.127:8080
SYN_SENT                    109.201.247.245:4639 <-> 178.74.202.226:8080
SYN_SENT                    109.201.247.245:4660 <-> 188.232.142.238:8080
LISTEN                      0.0.0.0:8081
SHA1                        EAB4B10A8B8F925844E26EAE472FCC48037EE8AD
MD5                         D1D4BBC13272C5BAD74AD0A42BCACA88
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sysdriver­32.exe
sysdriver32.exe             "C:\WINDOWS\sysdriver32.exe" rezerv
                           
Ссылка                      HKLM\System\CurrentControlSet\Services\srvsysdriver32\ImageP­ath
ImagePath                   C:\WINDOWS\sysdriver32.exe srv
srvsysdriver32              тип запуска: Авто (2)
                           
Образы                      EXE и DLL
SYSDRIVER32.EXE             C:\WINDOWS
[/quote]

3. в трее висит процесс

[QUOTE]Полное имя C:\WINDOWS\UPDATE.TRAY-3-0\SVCHOST.EXE
Имя файла                   SVCHOST.EXE
Тек. статус                 АКТИВНЫЙ ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      1172992 байт
Создан                      20.06.2011 в 20:43:20
Изменен                     20.06.2011 в 20:32:54
Атрибуты                    СКРЫТЫЙ  
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
Путь до файла               Не_типичен для этого файла [имя этого файла есть в известных]
                           
Доп. информация             на момент обновления списка
pid = 728                   WINXPSP3\Admin
CmdLine                     "C:\WINDOWS\update.tray-3-0\svchost.exe"
Процесс создан              16:41:34 [2011.06.25]
С момента создания          00:50:25
parentid = 392              C:\WINDOWS\EXPLORER.EXE
SHA1                        88E325DCA277FFF1F37A8E59BE01CE61908DEF6C
MD5                         D2A3874D904978ED4FFAC21CF671BC10
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\tray_ico0­
tray_ico0                   C:\WINDOWS\update.tray-3-0\svchost.exe
                           
[/QUOTE]

2. прибивает антивир, причем не только ESET NOD32, видел сообщения по КИС 2011, Comodo....

[QUOTE]Полное имя C:\PROGRAM FILES\ESET\ESET SMART SECURITY\EKRN.EXE
Имя файла                   EKRN.EXE
Тек. статус                 сервис в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      сервис в автозапуске
Инф. о файле                [B]Системе не удается найти указанный путь.[/B]
Цифр. подпись               проверка не производилась
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\ekrn\ImagePath
ImagePath                   "C:\Program Files\ESET\ESET Smart Security\ekrn.exe"
ekrn                        тип запуска: Авто (2)[/QUOTE]


[QUOTE]Полное имя C:\PROGRAM FILES\ESET\ESET SMART SECURITY\EGUI.EXE
Имя файла                   EGUI.EXE
Тек. статус                 в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Инф. о файле                [B]Системе не удается найти указанный путь.[/B]
Цифр. подпись               проверка не производилась
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\egui
egui                        "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
[/QUOTE]

1. скорее всего инсталлятор, т.е. пользователь сам его за пускает из каких-то соображений. (соц. инженерия, видимо.)

[QUOTE]Полное имя C:\DOWNLOADS\ПРОГРАММЫ\FLASH-PLAYER.EXE
Имя файла                   FLASH-PLAYER.EXE
Тек. статус                 ВИРУС [Запускался неявно или вручную]
                           
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
Размер                      1172992 байт
Создан                      20.06.2011 в 20:32:43
Изменен                     20.06.2011 в 20:32:54
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        88E325DCA277FFF1F37A8E59BE01CE61908DEF6C
MD5                         D2A3874D904978ED4FFAC21CF671BC10
                           
[/QUOTE]