Downloader + Hacktool.Rootkit + Spambot = нема больше сил

Подцепил 1-го мая, и так и борюсь до сих пор. Доборолся до того, что после отключения и удаления появившихся устройств в Диспетчере устройств перестал загружатся компьютер, пришлось сделать откат.
Симптомы сейчас такие- при загрузке системы после появления приглашения на ввод пароля вываливается окно svhosts с ошибкой по адресу 0х7c918fea по обращению к памяти по адресу 0x00000010, которая не может быть written, долго грузит систему, потом Symantec радостно кричит, что обнаружил Hacktool.Rootkit в каталоге C:\WINDOWS\System32\drivers\tcpsr.sys и доблестно его удалил, после чего начинается активная закачка в системный каталог для временных файлов (установлен C:\TMP) файлов 111.dat, 222.dat и т.п. и разных *.tmp,
вместе с этим начинается бешенная отправка писем, которые Symantec исправно проверяет и не отправляет, в общем через три минуты этих писем уже сотни, машина тормозит, приходится физически выдергивать кабель из сетевушки (подключаюсь к инету через сетевую, хаб, ADSL-модем).
В диспетчере устройств имею кучу экзотических устройств, увеличивающуюся с каждой перезагрузкой - и
TCPSR, WEJ51, TAF16, GRANDE48, CIN17. Когда в процессе работы включаю AZV-Guard, не могу запустить ни одну программу- отказано в доступе.
Перед работой с AZV провел проверку DR-Web-ом, лог следующий =

Итого- работать нельзя, убил уже кучу времени, но квалификации не хватает, прошу помочь.

1.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} -
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} -
O16 - DPF: {95B5D20C-BD31-4489-8ABF-F8C8BE748463} -
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} -
O20 - Winlogon Notify: crypt - C:\WINDOWS\
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll[/CODE]

Затем без перезагрузки

2.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ctfmon.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\spool.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\Cin17.sys','');
DeleteService('grande48');
QuarantineFile('C:\WINDOWS\system32\drivers\grande48.sys','');
QuarantineFile('FCI.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Taf16.sys','');
QuarantineFile('C:\WINDOWS\system32\timghook.dll','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
QuarantineFile('C:\WINDOWS\system32\LBOOKPORT.DLL','');
QuarantineFile('C:\WINDOWS\system32\LBOOKPORTPS.DLL','');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Taf16.sys');
DeleteFile('FCI.sys');
DeleteFile('C:\WINDOWS\system32\drivers\grande48.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Cin17.sys');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\spool.exe');
DeleteFile('WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ctfmon.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
BC_DeleteSvc('FCI');
BC_DeleteSvc('Cin17');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=22779[/url]

Все сделал, компьютер долго завершал работу после отработки скрипта, после перезагрузки опять окошко с ошибкой svhost и после входа в систему новые устройства в диспетчере устройств:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr]
"Type"=dword:00000001
"Start"=dword:00000004
"ErrorControl"=dword:00000000
"ImagePath"= system32\drivers

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr\Enum]
"0"="Root\\LEGACY_TCPSR\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
+
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ipv28]
+
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Qwc17]

все файлы *.sys в каталоге system32\drivers

Логи повторите...

В карантине Cin17.sys, Taf16.sys - [b]Trojan-Dropper.Win32.Agent.rek[/b] остальные заведемо известные, что враги новьё

Высылаю логи после первого скрипта. ЧУДО- при подключении сетевого соединения уже не шлю мегатонны писем, как раньше.

По карантину есть ответ аналитков WinNt32.dll - [b]Trojan-Downloader.Win32.Mutant.vx[/b] LBOOKPORTPS.DLL, LBOOKPORT.DLL, timghook.dll чистые

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\834668\834668.dll','');
DeleteFile('C:\WINDOWS\System32\drivers\Ipv28.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Qwc17.sys');
BC_ImportAll;
BC_DeleteSvc('Qwc17');
BC_DeleteSvc('Ipv28');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].


Повторите логи.

Логи после второго скрипта.

не хотят в карантин. [b]834668.dll[/b] и [b]tcpsr.sys[/b] поищите при помощи АВЗ-сервис--поиск файлов на диске и вышлите согласно приложения 2 правил.

Поискал [B]834668.dll[/B] и [B]tcpsr.sys[/B] AVZ - не нашёл, [B]834668.dll[/B] + еще каких-то 2 файла я изничтожил ручками в процессе борьбы до обращения к Вам- в папке system32\drivers\834668, удалил всю папку, а [B]tcpsr.sys[/B] найти не могу, так как его постоянно находил и удалял Symantec, определял его как Hacktool.Rootkit. Устройство [B]tcpsr [/B]в устройствах я прибил, перегрузился - и его больше нет. Жду дальнейших указаний.

З.Ы. Вроде жизнь наладилась, но осталось сообщение от svhost при входе в систему и пугающее меня при работе AVZ сообщение
Kernel ntoskrnl.exe found in memory at address 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Function NtConnectPort (1F) intercepted (80598C34->E1C23428), hook not defined
Functions checked: 284, intercepted: 1, restored: 0

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{413B556F-9483-4319-9DCA-5378529986E2}');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\834668\834668.dll');
BC_ImportDeletedList;
BC_DeleteSvc('tcpsr');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

Повторите логи начиная с п.10 правил.

Выкладываю логи. При выполнении скрипта забыл отключить Symantec, и сразу после выполнения скрипта до перезагрузки Symantec выловил и удалил [B]vdqyodyw.sys[/B], который определил как [B]Trojan Horse[/B].

vdqyodyw.sys-это драйвер AVZ,отключите Симантек он только мешает.

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearHostsFile;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\834668\834668.dll');
DelBHO('{413B556F-9483-4319-9DCA-5378529986E2}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи.

Доброго времени суток! Снова у компьютера, готов продолжать и добить зверя в его (т.е. моем) логове. Отправляю логи. Кроме того, заметил интересную особенность - я работаю в интернете Maxthon Browser-ом, это надстройка над IE, и при запуске Maxthon в ТМР каталоге появляются файлы 111.dat, 222.dat, 333.dat и Perflib_Perfdata_984.dat. Кроме того в каталоге, где Maxthon установлен, я обнаружил файл p.exe. Высылаю эти файлы в архиве virus.zip.

скрипт из поста 13 выполнялся ?

Да

отключите антивирус и выполните еще раз...
повторите логи начиная с пункта 10 правил ....

Скрипт поста 13 выполнил. Логи здесь.

авз - сервис - менеджер расширений BHO - найдите C:\WINDOWS\system32\834668\834668.dll и удалите ...
повторите virusinfo_syscheck.zip

Пост 19 выполнил. По прежднему при загрузке ошибка svhost.exe и при проверке AVZ -Function NtConnectPort (1F) intercepted (80598C34->E2707400), hook not defined.