Неудаляемый rootkit?...

Здравствуйте!
[COLOR=Black]Возникла следующая проблема. Несмотря на то что не один раз и полностью проверял комп CureiT,[/COLOR][COLOR=Black] стали постоянно появляться трояны по 1-2 штуки.
Скачал AVZ, проверил - он мне удалил ещё 2 штуки из необнаруженных.
Дальше решил делать как указано по инструкции на форуме. Первый скрипт для сбора информации, был выполнен. Второй я выполнить не смог - на этапе проверки диска выполнение прерывалось и компьютер перезагружался (попробовал сделать этап повторно - та же самая картина).
Сверх этого могу добавить - попытался избавиться от проблемы программой "Trojan Remover" - тоже не помогло.
Что посоветуете в данной ситуации?
Благодарю за ответ.
[/COLOR]

выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('USB2_04');
QuarantineFile('C:\WINDOWS\System32\drivers\nkv2.sys','');
QuarantineFile('C:\WINDOWS\mmhren1.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Osx48.sys','');
DeleteService('Osx48');
DeleteService('Nrv48');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nrv48.sys','');
DeleteService('Windows Inet Control Service');
QuarantineFile('C:\WINDOWS\TEMP\FF.tmp -srv','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\runtime.sys','');
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\TEMP\FF.tmp -srv');
DeleteFile('C:\WINDOWS\System32\Drivers\Nrv48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Osx48.sys');
DeleteFile('C:\WINDOWS\mmhren1.exe');
DeleteFile('C:\WINDOWS\System32\drivers\nkv2.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
сделайте полный комплект логов ...

[/code]пришлите карантин согласно приложения 3 правил ....
сделайте полный комплект логов ...[/quote]
Скрипт выполнил, логи смог сделать полностью - перезагрузки во время выполнения скриптов не было. Файл закачал.
Всё правильно?

Trojan Remover - деисталировать ... как бесполезный
запустите авз от имени администратора (правой кнопкой)
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('USB2_04');
BC_DeleteSvc('Osx48');
BC_DeleteSvc('Nrv48');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSvc('Windows Inet Control Service');
DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\TEMP\FF.tmp -srv');
DeleteFile('C:\WINDOWS\System32\Drivers\Nrv48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Osx48.sys');
DeleteFile('C:\WINDOWS\mmhren1.exe');
DeleteFile('C:\WINDOWS\System32\drivers\nkv2.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
сделайте полный комплект логов ...

Trojan Remover - удалил.
Запустить AVZ от имени 'администратора' не смог (правая кнопка мыши > запуск от имени), проскольку пользователь сам является администратором. Скрипт присланный вами был выполнен нормально, сразу после него пошла перезагрузка.
Далее стандартный скрипт дважды не хотел выполняться, запускал два раза и дважды он перезагружал компьютер, причём оба раза был 'синий экран'. В третий раз для интереса (будет работать или нет?) зашёл в безопасный режим и выполнил - всё прошло нормально. После вышел из safemod'a и выполнил его в нормальном режиме - логи высылаю.
В карантине новых файлов не обнаружено.
Всё ли правильно? Что дальше?

PS: после второго раза успел заметить что AVZ удалил какой-то троян и дальше при выполнении проверки диска пошла перезагрузка.

В логах чисто.
Но при таком состоянии системы
[CODE]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/CODE]
чистота продержится минут 20, не больше.
Ссылки на Сервис Пак 3 Вы найдете в моей подписи.

Спасибо! Сейчас поставлю на закачку SP3...
Исследовал систему - runtime.sys и runtime2.sys удалены.
Остался только один вопрос.
В логах была отмечена модификация машинного кода для некоторых функций. Это как раз и исправится сервис-паком?

[QUOTE=Kerner;259858]
В логах была отмечена модификация машинного кода для некоторых функций. [/QUOTE]
во первых не увидел такового , во вторых кто сказал что єто обязвтельно плохо ... ? ну а система действительно у вас кривая после установки сп 3 сделайте логи ...

Пока, к сожалению SP3 нормально встать не захотел... Подробностей не буду говорить, т.к. подобная тема не для этого раздела форума. Ну да ладно, разберёмся и с этим.
Спасибо за помощь! Очень рад что подобный форум существует в Сети.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]