Не могу избавиться от trojan-downloader

Почитал форум, тема похоже не новая, но самостоятельно справиться не получается.

Симптомы: в system32\drivers появляется файл типа Wob15.sys, Xcg26.sys итд.
Удаление его с помощью IceSword приводит к закачке очередной версии из интернета.
AVZ находит перехваченную функцию в ntdll.dll, восстанавливает её, после чего драйвер перестаёт закачиваться и всё работает нормально.
Однако после очередной перезагрузки компьютера перехватчик вновь оказывается запущенным и пытается загрузить драйвер.
Я ее могу понять, в каком именно месте происходит установка хука. Посмотрите логи, пожалуйста, и скажите что можно предпринять в этой ситуации.

Заранее благодарен,
Андрей

Скопируйте пожалуйста в IceSword файлы C:\WINDOWS\System32\Drivers\asc3550u.sys и C:\WINDOWS\System32\Drivers\Dpgq66.sys, чтобы прислать нам.

Потом [url=http://virusinfo.info/showthread.php?t=7239]выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\BN9.tmp','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\flash.exe','');
QuarantineFile('C:\WINDOWS\system32\ccapp.exe','');
QuarantineFile('C:\WINDOWS\system32\NavCOM01.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Xcg26.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wob15.sys','');
QuarantineFile('C:\Program Files\Common Files\System\winmgt32k.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wbf61.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nrv37.sys','');
QuarantineFile('C:\WINDOWS\system32\k53lock.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Imq83.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Fjn37.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Dpgq66.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\asc3550u.sys','');
QuarantineFile('C:\Program Files\Common Files\System\ntsvc32k.exe','');
QuarantineFile('C:\DOCUME~1\Andy\LOCALS~1\Temp\4\svchost.exe','');
DeleteFile('C:\DOCUME~1\Andy\LOCALS~1\Temp\4\svchost.exe');
DeleteFile('C:\Program Files\Common Files\System\ntsvc32k.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\asc3550u.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Dpgq66.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Fjn37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Imq83.sys');
DeleteFile('C:\WINDOWS\system32\k53lock.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nrv37.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wbf61.sys');
DeleteFile('C:\Program Files\Common Files\System\winmgt32k.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Wob15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xcg26.sys');
DeleteFile('C:\WINDOWS\system32\NavCOM01.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\Temp\BN9.tmp');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('A3D8CF27');
BC_DeleteSvc('ntsvc32k');
BC_DeleteSvc('Imq83');
BC_DeleteSvc('Fjn37');
BC_DeleteSvc('Dpgq66');
BC_DeleteSvc('Nrv37');
BC_DeleteSvc('k53lock');
BC_DeleteSvc('Wbf61');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Xcg26');
BC_DeleteSvc('Wob15');
BC_DeleteSvc('winmgt32k');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] и два скопированных Вами файла (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=24010[/url] ).

Очистите временные папки и кеш браузера.
Сделайте новые логи и прикрепите еще boot_clr.log из папки AVZ.

Запрошенных Вами файлов на диске не оказалось.
Скрипт прошел, логи прилагаю. Карантин закачал по ссылке вверху.
Похоже что предпринятые действия помогли, так как AVZ перестала ругаться.

Спасибо за помощь,
Андрей

Вы эти файлы смотрели в IceSword меню File перед выполнением скрипта?
А boot_clr.log из папки AVZ есть? Если есть - прикрепите.

C:\Documents and Settings\Andy\Рабочий стол\Search.rar - на всякий пожарный пришли вот этот файл через "Отправку карантина" . АВЗ его подозревает.
Больше ничего плохого в логах не увидел.

Да, смотрел перед выполнением скрипта. Не было.
boot_clr.log прилагаю.
Подозрительный архив на рабочем столе присылать не буду, он 100% неактуален.

Пуск - Выполнить - напишите sc delete asc3550u - нажмите ОК. Перезагрузитесь.
Сделайте новый лог по пункту 8 правил.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]40[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\winnt32.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\windows\\temp\\bn9.tmp - [B]Email-Worm.Win32.Agent.ge[/B] (DrWEB: BackDoor.Bulknet.193)[/LIST][/LIST]