Подозрение на руткит

[thyrex]

Запустите TDSSkiller с ключом -qmbr
Найдите на диске С папку с карантином утилиты, запакуйте и прикрепите к сообщению

[Disponsator]

Чуть ранее еще сказали проверить с помощью Dr.Web LiveCD (сейчас не вижу этого сообщения) - он ничего не нашел.
Карантин TDSSKiller прилагаю.

[thyrex]

gmer детектит остатки от буткита Sinowal
Сам MBR в порядке

[Disponsator]

К сожалению, это не так. Без подключения к интернету чищеная система еще кое-как работает (возникают некоторые ошибки, но это терпимо). При подключении же к сети моментально начинается загрузка вредоносного ПО (три разных набора, насколько я могу определить визуально). С момента подключения до момента полной блокировки доступа к сети проходит 5-7 минут; до момента первых сбоев в работе браузера, проводника, запущенных приложений - еще 10-15 минут; дальнейшее развитие - в зависимости от загруженного набора вредоносных программ. Минимальное время до перезагрузки с синим экраном - чуть менее часа.

В общем, это не остатки кода, это полноценный буткит.

[thyrex]

Сделайте лог ComboFix

[Disponsator]

Готово.

[thyrex]

Что с проблемой?

[Disponsator]

Без позитивных изменений. Изменился только загружаемый контент: раньше были номерные exe-файлы, а теперь в разных папках складируются еще и файлы с расширением tmp. И подмена рабочего стола тоже изменилась: теперь AVZ детектирует сразу два файла, которые выполняют эту функцию.

Да, еще в корне диска C иногда создается папка с дружелюбным названием "Avenger". Обычно она пустует или содержит пустые подпапки.

Из плюсов: похоже, что многочисленные проверки указанными выше утилитами убили вирус, который заражал файлы видеодрайвера. Но это не факт.

[Disponsator]

Восстанавливал MBR с помощью программы Esage Lab Bootkit Remover, и с помощью консоли восстановления тоже. Не помогает. После восстановления загрузочной записи (которую большинство утилит и так считает подлинной) начинается тот же процесс, что уже неоднократно описан выше.

Что же это, руткит уровня BIOS?