В ядре ОС сидит вирус

Изначально на компьютере сотрудники подхватили вирусы, вирусы были удалены, поставлен KIS2011 который стоял месяц, затем был поставлен бесплатный аваст, который успешно работает и обновляется уже несколько месяцев.

Но периодически стали поступать жалобы что вылетают программы. По факту периодически перезапускается explorer.exe, avast ругается что было блокировано соединение с адресом 91.207.5.250/town/a1.php от имени ядра с PID 4.

Далее был обнаружен atapidrv.sys в модуле ядра [URL="http://www.virustotal.com/file-scan/report.html?id=699313cc1c09cffff308cfa61a6801ea060d3bded3fbc3dc966b5b62affa63de-1310809204"]http://www.virustotal.com/file-scan/report.html?id=699313cc1c09cffff308cfa61a6801ea060d3bded3fbc3dc966b5b62affa63de-1310809204 [/URL]

Еще меня смущает строки в отчете :
"7. Эвристичеcкая проверка системы
[QUOTE]>>> Подозрение на маскировку ключа реестра службы\драйвера "vsfoceamdxwhop"
>>> C:\WINDOWS\system32\Drivers\atapidrv.sys ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Файл успешно помещен в карантин (C:\WINDOWS\system32\Drivers\atapidrv.sys)
Проверка завершена"[/QUOTE]

Файл уже отправлен на анализ в лаборатории.

Прошу помочь удалить эту беду корректно.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('abp470n5');
QuarantineFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\hkogrm.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showpost.php?p=351873&postcount=1"]gmer[/url]

Выполнил скрипт, сделал логи. С помощью gmer удалил службу "vsfoceamdxwhop", хотя в логах видны остатки ссылок. Прикладываю вновь сделанные логи.

Где повторные логи?

[QUOTE=Aleksandra;810208]Где повторные логи?[/QUOTE]
поправил. что-то как-то странно форма для ответа работает. толи браузер глючит, толи движок форума.

[URL="http://virusinfo.info/showthread.php?t=40118"]Выполните в GMER:[/URL]

[CODE]gidx1itv.exe -del file "c:\windows\system32\drivers\vsfoceabdibnyr.sys"
gidx1itv.exe -del file "c:\windows\system32\vsfocesmprqxyv.dll"
gidx1itv.exe -del file "c:\windows\system32\vsfocebvmhwwks.dat"
gidx1itv.exe -del file "c:\windows\system32\vsfocepwsftung.dll"
gidx1itv.exe -del file "c:\windows\system32\vsfocehvmyqxmo.dat"
gidx1itv.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vsfoceamdxwhop"
gidx1itv.exe -reboot[/CODE]

Сделайте повторный лог.

В общем выполнил код, удалены *.dat файлы. больше ничего подозрительного там не увидел. Все стало тихо. в результате проверки был обнаружен Trojan.Win32.Vrdapi.ch который добавлен в базы касперского вирусным аналитиком аж в течение 3 (ТРЕХ) дней, что удивительною Видать или virus сложный или работы у них много.

Повторно логи не делаю т.к. компьютер интенсивно используется и лишний раз его отключать не совсем целесообразно.

Спасибо за помощь.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\atapidrv.sys - [B]Trojan.Win32.Vrdapi.ch[/B] ( DrWEB: Trojan.Siggen2.57746, BitDefender: Trojan.Generic.KDV.77969, AVAST4: Win32:Malware-gen )[/LIST][/LIST]