Нужна помощь в удалении спам-бота

На нескольких компьютерах в своё время поселился небызызвестный ntos.exe.
На первых заражённых им машинах всё удалось вычистить вручную, на нескольких (где он успел "прожить" несколько дней и накачать разной гадости) пришлось использовать AVZ. На ещё 2-х машинах всё печальнее. Там он прожил чуть ли не неделю или даже больше. От "побочных" троянов и прочих гадостей успешно почистил одну из машин, но там прописалась на уровне сервиса (их было 2) - которая во первых прятала свои файлы и защищала их от удаления (+ в реестре тоже), а вторая занималась закачкой новой гадости на машину и держала открытыми 2 порта. С этим тоже удалось разобраться, благодаря AVPTool (AVZ эта гадость блочила - просто не давала скопировать или создать любые файлы с расширением AVZ). Короче осталась последняя машина. Вычещено всё, но оч. глубого и хорошо засел в системе спам-бот (в данный момент его деятельность заблочена фаерволом на роутере).

Не получается сделать лечение и анализ системы скриптом AVZ - т.к. при попытке блокирования Root-kit kernel mode система тут же падает с синим экраном. Проверялось в различных режимах (включая безопасный), даже был удалён антивирус и т.д. - не помогает. Единственное что удаётся сделать с помощью AVZ - общий стандартный скан. Выкладываю лог текстом, т.к. нет смысла его прикладывать (он не соответствует правилам) во вложении.

[QUOTE]
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082B80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Функция NtEnumerateKey (47) - модификация машинного кода. Метод JmpTo. jmp F73846B1Bfgk52.sys
Функция NtOpenKey (77) - модификация машинного кода. Метод JmpTo. jmp F738441DBfgk52.sys

1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = F737FED5 -> Bfgk52.sys
Проверка завершена
[/QUOTE]

виновник собственно BFGK52.SYS который очень плотненько где то засел. Как удалить гада - придумать не удалось, поэтому обращаюсь за помощью.

Прилагаю только лог от hijackthis.

Заранее спасибо :>

[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:[B]Bfgk52.sys[/B],правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

После этого попробуйте сделать логи.

спасибо! нашёлся в system32/drivers

удалил, перезагрузился, решил ещё раз в драйверы слазить - отсортировал по дате файлы - было много "свежих" майских. Убил все эти файлы. Ребутнул - нашлись как бы 2 устройства (неизвестных), удалил их в диспетчере устройств. Посмотрел ещё раз IceSword'ом директорию драйверов. Нашёл 2 довольно больших файла (600kb один и ещё один поменьше), которые тут же восстанавливаются после удаления. Посмотрел на нескольких машинах - ничего подобного нигде не встречается, в dllcache тоже не было их.

Прогнал скрипт AVZ (лечение и сбор информации), нашёл много интересного в логе =)
После этого перезагрузился и прогнал 2-й скрипт...

Прикладываю 2 файлика. Сейчас проверил - всё чисто. Спам-бот помер после удаления bfgk52.sys, больше никакой активности пока что не наблюдается. Восстановил антивирь (Symantec Antivir Corporate).

Мусор в реестре от руткита удалим.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('Bfgk52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bfgk52.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Bfgk52');
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.
Сделайте новые логи.

сделал. снова прилагаю 2 файла от AVZ.

Чисто,жалобы есть?

левой сетевой активности нет, портов открытых левых тоже нет, в процессах ничего лишнего, проц ничего не грузит, с виду всё нормально :)

спасибо за помощь!