Не могу победить вирусы

Добрый день. Имеется заражённый ноут. Лечил по рекомендованной в конфе методике, сначала CureIt потом АВЗ. После анализа логов пробовал ручками удалять подозрительные файлы но система после этого вылетала в синий экран. Помогало возвращение по одному на место и загрузка последней удачной конфигурации. Удалялись fbapi.sys (на virustotal.com - 2 из 32 показали заражение) ritcpt.sys и vvbackd5.sys - чистые, rtService.exe. АВЗ показывает перехват wininet.dll и при загрузке находится какое-то новое устройство.

На всякий случай, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\SUE_PD.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\RITCPT.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\DgiVecp.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\FBAPI.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\rtifdh.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\VVBackd5.sys','');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=21929[/url] , как написано в прил.3 правил.
В дополнение, вопросы: Norton antivirus находится в рабочем состоянии? И вот эта штука - ruToken Service - это похоже на службу от какого-то аппаратного средства защиты. Что-то похожее ( заглушки на USB или LPT-порты ) на машине присутствует?

Norton не был установлен, присутствовала только папка Program Files\Symantec c несколькими файлами - я это всё удалил, ещё удалил symevent.sys сейчас этого нет в системе, осталась только служба, забыл удалить. Заглушки USB присутствуют - защита Контур-Экстерн. Карантин отправил

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Забыл сказать, что присутствует ограничение учётных записей, невозможно войти под встроенной локальной учётной записью Администратор, только в безопасном режиме. Пользователь тоже в группе администраторов. В панели "Управление компьютером" нет ветки "Локальные пользователи".

Карантин пришел, на первый взгляд, ничего в нем нет вредного.
Давайте пока так: вот этот скрипт AVZ - [code]begin
SetServiceStart('NPFMntor', 4);
SetServiceStart('LiveUpdate', 4);
SetServiceStart('Automatic LiveUpdate Scheduler', 4);
DeleteFile('C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe');
BC_DeleteFile('C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe');
DeleteFile('C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE');
BC_DeleteFile('C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE');
DeleteFile('C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe');
BC_DeleteFile('C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe');
BC_DeleteSvc('NPFMntor');
BC_DeleteSvc('LiveUpdate');
BC_DeleteSvc('Automatic LiveUpdate Scheduler');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] - должен удалить все видимые остатки от Нортона. В дополнение, у Симантека есть утилита для удаления некорректно установленных продуктов - [url]ftp://ftp.symantec.com/public/english_us_canada/removal_tools/Norton_Removal_Tool.exe[/url]
Хорошо бы и с ее помощью подчистить отстатки.
По поводу ограничений: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
executerepair(6);
RebootWindows(true);
end.[/code] Возможно, это восстановит апплет "локальные пользователи и группы".
По поводу usb-ключа: видна служба [code]O23 - Service: ruToken Service - Unknown owner - C:\WINDOWS\system32\rtService.exe (file missing)[/code] - похоже, битая, и виден активный драйвер C:\WINDOWS\system32\drivers\rtifdh.sys с описанием [code]ruToken IFD Handler for Windows[/code] Отсюда предположение, что ПО для данного ключа не совсем корректно установлено (если, конечно, я угадал, и это, действительно, ПО, обслуживающее ключ).

[QUOTE=Numb;219142]
По поводу ограничений: программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
executerepair(6);
RebootWindows(true);
end.[/code] Возможно, это восстановит апплет "локальные пользователи и группы".[/QUOTE]

Не помогло

[QUOTE=Numb;219142]
По поводу usb-ключа: видна служба [code]O23 - Service: ruToken Service - Unknown owner - C:\WINDOWS\system32\rtService.exe (file missing)[/code] - похоже, битая, и виден активный драйвер C:\WINDOWS\system32\drivers\rtifdh.sys с описанием [code]ruToken IFD Handler for Windows[/code] Отсюда предположение, что ПО для данного ключа не совсем корректно установлено (если, конечно, я угадал, и это, действительно, ПО, обслуживающее ключ).[/QUOTE]
Служба не работала по причине отсутствия файла rtService.exe - я его удалял на время проверки.

Скрипты выполнил - результат тот же. Выкладываю повторные логи.
Я думаю что причина - VVbackd5.sys. Он без описания и номера версии тоже нет. После его удаления система не грузится. Был похожий случай. Тогда удалил заражённый dll-файл с чисткой ссылок на него AVZ-ом и всё нормализовалось. Но тогда была полная уверенность - так как на virustotal.com был опознан как вирус.

Логи

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]