atiatbxx.sys (8kb) и atiataxx.dll (25kb) - трояны

В форуме DrWeb создал тему по этому поводу, мне дали советы - что и как делать и рекомендовали затем написать сюда и отправить логи. Советы очень помогли, большое спасибо. Логи прикрепляю.
Повторяю суть проблемы - DrWeb обнаружил вирусы и удалил. Названия их я не запомнил (помнил, что трояны). После удаления обнаружил, что в папке windows/system32 остались подозрительные файлы ng77.bin (0-1 kb) и ksl48.bin (1kb), atiatbxx.sys (8kb) и atiataxx.dll (25kb). Время их создания-изменения совпадает со временем появления вирусов.
Удалить эти 4 файла сначала удалось, но после перезагрузки они появились снова, после чего повторялась такая же ситуация - удалялись (не без труда - компьютер писал, что они заняты процессом), но потом появлялись снова.
В автозагрузке ничего подозрительного не было видно. DrWeb в них вирусов не видел, а при онлайн-проверке не видел и самих файлов вообще (писал "файл не загружен"). То же самое с Касперским. С ЦП, интернет эксплорером и трафиком ничего подозрительного, вроде, не происходило. Единственный заметный "тревожный звонок" - компьютер не выключался и не перегружался через "Пуск", приходилось кнопкой.
Да, еще в windows/temp появилась сомнительная папка TSK16HXAQV с файлами .tmp
DrWeb лицензионный, регулярно обновляемый. Windows нелицензионная, в связи с чем DrWeb постоянно ругается на файл srvany.exe.

Согласно советам, проверил [U]cureit-beta.exe[/U] в безопасном режиме - она выявила atiatbxx.sys и atiataxx.dll как вирусы Trojan-Spy.Win32.Banker. Я их сразу удалил (ng77.bin и ksl48.bin тоже), и они больше не появлялись.
АVZ выявила дополнительно такие же трояны в двух файлах tmp и нашла vbsys2.dll - Trojan-Clicker.Win32.Agent
Проверку AVZ и HijackThis выполнил, логи отправляю. Я не уверен, что нужно было удалять файлы-вирусы, но, видимо, немного переволновался.
Посмотрите, пожалуйста, логи и, если дадите советы по дальнейшим действиям, большое спасибо. Если особых действий предпринимать не надо - тоже в любом случае большое спасибо. С компьютером, кажется, все нормально, выгружается и перегружается через "пуск".
С уважением, Дмитрий

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\windows\temp\winlogon.exe','');
DeleteFile('C:\windows\temp\winlogon.exe');
DeleteFile('C:\WINDOWS\System32\vbsys2.dll');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]O4 - HKCU\..\Run: [Firewall auto setup] C:\windows\temp\winlogon.exe
O4 - HKLM\..\Run: [Cleanup] ??

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} - [/CODE]
Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи.

Спасибо.
Отправляю карантин.

Логи тоже сделал.

Так вот- логи сюда, а карантин - по ссылке над темой. Дитям мороженое! (c)

По правилам, значит по ссылке в шапке ([url]http://virusinfo.info/upload_virus.php?tid=11124[/url] ) присылать запрошенный карантин и никак инaче!

Понял.
Логи вот.

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
BC_QrSvc('i9aaduotiqe');
BC_QrFile('C:\WINDOWS\wc98pp.dll');
BC_QrFile('C:\WINDOWS\System32\dior4f48842391.exe');
BC_DeleteSvc('i9aaduotiqe');
BC_DeleteFile('C:\WINDOWS\System32\dior4f48842391.exe');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11124[/url]

Также нужно обновить систему до SP2 + все критические обновление которые вышли за последние время,иначе вы можете стать частым гостем раздела "Помогите" и Internet Explorer тоже нужно обновить(текущая версия 7)

Понял, спасибо, пожелания учту.
Карантин выслал.

где карантин то?

Отправил, ответ был такой - "Не указана ссылка на тему. Должен быть линк вида [url]http://virusinfo.info/showthread.php?t=XXXX[/url] на существующую тему на форуме"
Ссылку указал вот эту - [url]http://virusinfo.info/showthread.php?&p=123590[/url]
Отправил несколько раз, потом подумал, что, может быть, все ушло, просто мелкие неполадки.
Сейчас отправил еще раз с этой же ссылкой.

Используйте ссылку "Прислать запрошенные файлы" в шапке темы.

Отправил - то же самое.

Видимо, не так ссылку использовали. Просто жмакнуть по ней - откроется форма загрузки с уже заполненной ссылкой на тему, останется только файл выбрать.

Да, все верно, я перемудрил.
Выслал карантин.

В карантин попал только 1 файл и он чистый,как состояние компьютера?
Повторите логи.

Состояние компьютера - как вы и предупреждали - успел поймать еще и трояна rsvp32_2.dll со sporder.dll.
Попробовал вылечить сам, удалил, провел проверку, почистил от rsvp322 реестр - winsock2 во всех контролсетах. Внешне все нормально, все работает, хотя я далеко не уверен.
Логи отправляю, карантин сейчас приложу.
Обновлением до SP2 озадачился, главная проблема в том, что Windows нелицензионная, кряков к SP2 у знакомых пока не нашел. Эксплорер 7-й поставлю.

профиксите
[code]
O4 - HKLM\..\Run: [System] C:\WINDOWS\svchost.exe
[/code]
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\wc98pp.dll','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\System32\rsvp322.dll','');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\System32\rsvp322.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
повторите логи...

Скрипт выполнил, логи прилагаю.
Карантин сейчас вышлю.

логи чисты ... настоятельно рекомендуем [B]SP2[/B] и все последующие обновления безопастности... иначе эта тема будет продолжаться очень долго ;)