достаточно хитрый обход защиты.
первоначально, видимо заражается userinit.exe, taskmgr.exe
поскольку правила HIPS я не сохранял для 22cc6c32.exe (не вполне корректно провел эксперимент), возможно локер прописался в реестр после перезагрузки, после запуска зараженного userinit.exe.

необходимо,
скачать отсюда загрузочный образ winpe&uvS
http://dl.dropbox.com/u/23461204/winpe_x86%26uvs.iso
записать на чистой системе данный образ на диск CD-R,
далее, на зараженной системе при начальной загрузке зайти в BIOS (часто по клавише F2, в зависимости от типа BIOS)
в настройках BIOS установить приоритет загрузки с CD,
сохранить настройки,
вставить в CD-room загрузочный диск,
перегрузить систему,
далее, автоматически запустится uVS

вам необходимо создать образ автозапуска зараженной системы,
http://forum.esetnod32.ru/forum9/topic683/
применительно к случаю загрузки с Live.CD,
сохранить его на съемный носитель, например флэшку,
и передать файл образа автозапуска сюда, на форум.

кстати, провел эксперимент с Winlock (vmware, XP SP3, ESS5). Отключил файловую защиту, HIPS включен в интерактивном режиме. Запускаю 22cc6c32.exe из папки, исключенной из проверки. HIPS перехватывает запуск, создание записи в реестре (ключ winlogon\shell)... запрещаю открытие процессов, запуск, изменение ключа в реестре... в итоге получаю блокирующий экран, перегружаю виртуальную машину - получаю блокирующий экран после авторизации пользователя (видимо все таки успел заразить_заменить userinit.exe)... загружаюсь с Winpe&uvs - в автозагрузке 22сс6с32.exe (стартует из Winlogon\shell), а так же пара зараженных файлов: userinit.exe, taskmgr.exe, которые находится благодаря сигнатуре [B]22сс6с32.exe[/B].

диск рабочий, при наличие сети, антивирус, собранный на базе ESET NOD32 for Linux Desktop (ver 4.0.63) может обновить базы, в списке других установленных программ - firefox, запускается со стартовой страницей esetnod32.ru.
Вобщем инструмент полезный, будем рекомендовать при лечении файлового заражения.

Может имеет смысл сделать отдельную тему по ESET NOD32.LiveCd русской сборки?

[QUOTE]Алексей пишет:
Заменяет значение userinit и shell на стандартные[/QUOTE]
тогда возможно следует учесть, что некоторые разновидности блокеров заменяют системные файлы userinit.exe, taskmgr.exe, т.е. предусмотреть каким то образом их замену.
(в uVS мы это можем сделать т.о., что в каталог STORE помещаем указанные системные файлы, и по команде "восстановить файлы из хранилища" uVS найдет нужные для данной ОС файлы для замены зараженных локерами.)

Алексей, вопрос не совсем в тему, по Live.CD вот отсюда
http://www.esetnod32.ru/.download/livecd/
скачал пока iso, и посмотрел документацию, (протестирую только вечером) но любопытно наперед:
что за функция userinit_fix? какие действия она выполняет?
[QUOTE]По окончании сканирования запустите файл Userinit_fix, который находится на рабочем столе.
Следуйте указаниям, которые появятся в черном окне. [/QUOTE]
+ переместить букву [B]н[/B] в нужном направлении из этого сообщения, т.е. фразу надо бы усовершенствовать. :).
[QUOTE][B]Усовершеннствованый антиспам-модуль[/B] стал еще более мощным средством защиты от нежелательной почты и позволяет достичь более точного уровня обнаружения всех видов угроз.[/QUOTE]
отсюда. :).
http://www.esetnod32.ru/.download/beta/

также,
проверьте возможность подключения клиентов к серверу ERA, поменяв в настройках администрирования сервер подключения:
указать либо DNS.name хоста где установлен сервер ERA,
указать IP хоста, где установлен сервер ERA.

во-первых, мы так и не увидели журнал обнаруженных угроз, с компьютеров, которые подверглись атаке Virut,
во вторых, возможно в локальной сети - проходной двор для сетевых вирусов - расшарены ресурсы для записи, слабые админские пароли, благодаря чему Virut может подключиться через админские шары и заражать исполняемые файлы очень быстро, так что файловый монитор не успеет за ним излечивать заражение.

[QUOTE]id35200937 пишет:
Устарели базы сигнатур, так как не происходит обновление.[/QUOTE]
сделайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic683/

Версия 3.62

[QUOTE]o Улучшена функция добавления в список плагинов браузеров Opera/Firefox.
(для "portable" версий браузеров).

o Новая горячая клавиша:
Alt+Enter - Открыть свойства файла.

o Оптимизирован альтернативный режим сканирования.

o Проверка на наличие каталогов для временных файлов.

o Расширен набор известных файлов принудительно добавляемых в список.

o Расширен список известных файлов при отсутствии которых в лог выдается предупреждение.

[/QUOTE]

http://www.anti-malware.ru/forum/index.php?showtopic=11667&view=findpost&p=130829