Неудаляемый вирус (заявка №27496)

[CyberHelper]

Пользователь обратился в сервис 911, указав на следующие проблемы в работе его компьютера:
В C:\Documents and Settings\Evgeniy\Local Settings\Temporary Internet Files появляются tbf.exe, irc2.exe и clc.exe
в свойствах источники:
http://208.53.183.4/tbf.exe
http://208.53.183.222/clc.exe
http://74.63.78.41/clc.exe
http://208.53.183.113/tbf.exe
http://208.53.183.124/irc2.exe
http://208.53.183.46/clc.exe

В C:\Documents and Settings\All Users\Application Data\
B7B394A5D2.sys
KGyGaAvL.sys

C:\Temp (цифры).exe

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Z23MUDYV\t[1].exe

C:\WINDOWS\system32 (31,37,83).exe

C:\RECYCLER\S-1-5-21-***

C:\System Volume Information\_restore(***)\RP11\A0012562.exe

В реестре, создаются записи:

HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICac he\ | C:\WINDOWS\cfdrive32.exe
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICac he\ | C:\WINDOWS\system32\msvmiode.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \ | MSODESNV7 | "C:\WINDOWS\system32\msvmiode.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \ | Microsoft Driver Setup | "C:\WINDOWS\cfdrive32.exe"
HKUS\S-1-5-21-484763869-515967899-1801674531-1003\Software\Microsoft\Windows\ShellNoRoam\MUICac he\ | C:\WINDOWS\cfdrive32.exe
HKUS\S-1-5-21-484763869-515967899-1801674531-1003\Software\Microsoft\Windows\ShellNoRoam\MUICac he\ | C:\WINDOWS\system32\msvmiode.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = C:\RECYCLER\S-1-5-21-7488701346-1188046656-398411520-5884\syscr.exe,explorer.exe,C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe

Даже после удаления всех этих файлов и закрытия процессов непрерывно создается
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ | Shell | "C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ | Taskman | "C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe"
HKUS\S-1-5-21-484763869-515967899-1801674531-1003\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ | Shell | "C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe"

Как бы вычислить что их создает?...

cfdrive32.exe через несколько минут забивает буфер из-за чего не запускается практически ни одна программа.
Это то, что я нашел. После чистки и перезагрузки все создается заново.
Дата обращения: 17.08.2010 18:06:17
Номер заявки: 27496

[CyberHelper]

17.08.2010 18:20:21 на зараженном компьютере были обнаружены следующие вредоносные файлы:

1. C:\WINDOWS\Installer\{32801811-08D2-41E8-84A0-F3AA80012E0D}\CTS.exe1_AA3090BB9F4E41529399DC7597D 68D3A.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 53248 байт
   • дата файла: 11.09.2010 10:50:22
   • версия: "14.0.162"
   • копирайты: "Copyright (C) 2007 Macrovision Corporation"
2. c:\windows\system32\msvmiode.exe - Net-Worm.Win32.Kolab.kiu
   
   • размер: 158720 байт
   • дата файла: 17.08.2010 20:53:18
   • детект других антивирусов: DrWEB 5.0: Зловред Trojan.MulDrop1.42320
3. C:\WINDOWS\system32\VC6DLG.dll - подозрительный, обрабатывается вирлабом
   
   • размер: 122880 байт
   • дата файла: 10.05.2004 11:44:56
   • версия: "6.0.0.0"
   • копирайты: "Copyright © 2000-2004 by H+H Software GmbH"
4. C:\WINDOWS\system32\vc6extse.dll - подозрительный, обрабатывается вирлабом
   
   • размер: 147456 байт
   • дата файла: 07.05.2004 9:19:46
   • версия: "6.0.0.1"
   • копирайты: "Copyright © 2000-2004 by H+H Software GmbH"

[CyberHelper]

17.08.2010 21:10:23 на зараженном компьютере были обнаружены следующие вредоносные файлы:

1. C:\WINDOWS\system32\24.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 81920 байт
   • дата файла: 17.08.2010 21:18:06
2. C:\WINDOWS\system32\07.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 81920 байт
   • дата файла: 17.08.2010 21:09:44
3. C:\Temp\254.exe - Net-Worm.Win32.Kolab.kiu
   
   • размер: 158720 байт
   • дата файла: 17.08.2010 22:47:32
   • детект других антивирусов: DrWEB 5.0: Зловред Trojan.MulDrop1.42320
4. C:\Temp\286.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 81920 байт
   • дата файла: 17.08.2010 22:47:30
5. C:\Temp\95719.exe - Net-Worm.Win32.Kolab.kiu
   
   • размер: 62464 байт
   • дата файла: 17.08.2010 22:47:48
6. C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 81920 байт
   • дата файла: 17.08.2010 22:47:30
7. c:\windows\system32\msvmiode.exe - Net-Worm.Win32.Kolab.kiu
   
   • размер: 158720 байт
   • дата файла: 17.08.2010 22:47:32
   • детект других антивирусов: DrWEB 5.0: Зловред Trojan.MulDrop1.42320
8. c:\windows\cfdrive32.exe - Net-Worm.Win32.Kolab.kiu
   
   • размер: 62464 байт
   • дата файла: 17.08.2010 22:47:48

[CyberHelper]

17.08.2010 23:10:30 на зараженном компьютере были обнаружены следующие вредоносные файлы:

1. C:\Documents and Settings\Evgeniy\Local Settings\Temporary Internet Files\Content.IE5\I8A2V7H9\l[1].exe - подозрительный, обрабатывается вирлабом
   
   • размер: 81920 байт
   • дата файла: 18.08.2010 1:33:38
2. C:\Documents and Settings\Evgeniy\Local Settings\Temporary Internet Files\Content.IE5\IW0237RC\tbf[1].exe - подозрительный, обрабатывается вирлабом
   
   • размер: 81920 байт
   • дата файла: 18.08.2010 1:33:56
3. C:\Temp\420.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 81920 байт
   • дата файла: 18.08.2010 1:33:56
4. C:\RECYCLER\S-1-5-21-4600920231-6725875052-664523733-6433\syscr.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 81920 байт
   • дата файла: 18.08.2010 1:33:38
5. C:\Temp\213183.exe - Net-Worm.Win32.Kolab.kiu
   
   • размер: 158720 байт
   • дата файла: 17.08.2010 18:30:24
   • детект других антивирусов: DrWEB 5.0: Зловред Trojan.MulDrop1.42320
6. C:\Temp\155900.exe - Net-Worm.Win32.Kolab.kiu
   
   • размер: 62464 байт
   • дата файла: 17.08.2010 9:39:20
7. C:\WINDOWS\system32\13.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 81920 байт
   • дата файла: 18.08.2010 1:33:38
8. C:\WINDOWS\system32\51.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 81920 байт
   • дата файла: 18.08.2010 1:26:08
9. E:\myfolder\myfile.exe - Trojan.Win32.Agent.exey
   
   • размер: 90112 байт
   • дата файла: 11.09.2010 12:07:18
   • детект других антивирусов: DrWEB 5.0: Зловред Trojan.DownLoader1.17472; BitDefender: Зловред Gen:Variant.Inject.1
10. C:\WINDOWS\system32\msvmiode.exe - Net-Worm.Win32.Kolab.kiu
    
    • размер: 158720 байт
    • дата файла: 17.08.2010 9:39:22
    • детект других антивирусов: DrWEB 5.0: Зловред Trojan.MulDrop1.42320
11. C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe - подозрительный, обрабатывается вирлабом
    
    • размер: 81920 байт
    • дата файла: 17.08.2010 9:39:18
    • детект других антивирусов: DrWEB 5.0: Зловред Win32.HLLW.Autoruner.22584