sp??.sys в модулях пространства ядра.

Началось с того, что Симантек антивирус при каждой перезагрузке компьютера начал находить вирусы (рукиты) с просьбой перезагрузиться.
Сообщения:
Троян - bnc.tmp - C:\Temp
HacktoolRootkit - systemntmi.sys - C:\windows\system32\drivers
При этом в avz в модулях пространства ядра постоянно появляется новый непонятный модуль с именами sp??.sys (sppt.sys, spmt.sys и т д.)
Следов этого в реестре и на диске нет, даже после блокирования рукитов avz-ом. причем зараза явно подкачивается каждый раз, причем скорее всего под конкретным пользователем, после лечения из инета, т.к. при отключении интернета сообщений о вирусах нет.
Помогите плиз, давно с таким не сталкивался ...

[b]Отключите службу восстановления системы[/b] (см. Приложение 1 Правил).
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZPMStatus(True);
QuarantineFile('rem','');
RebootWindows(false);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

Установите Adobe Acrobat 9 или удалите старый.

PS. sp??.sys это драйвер DAEMON Tools.

Скрипт запустил, в карантине ничего нет.
Скрипт запускал под администратором при отключенном инете.
Может нужно под тем пользователем, который "цепляет" вирус?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Этому пользователю нужно дать права администратора?

[size="1"][color="#666686"][B][I]Добавлено через 40 минут[/I][/B][/color][/size]

Акробат переустановил на 9. Предположение на счет него кажется верным, пользователь видимо открыл зараженный pdf из инета.
Ситуация не изменилась, при загрузке пользователя и подключенном инете:
Троян - bnc6.tmp - C:\Temp
HacktoolRootkit - netsik.sys - C:\windows\system32\drivers

Вам нужно сделать новый лог по пункту 2 Диагностики от имени Администратора.
Пользователю дополнительные права не давать.

Новый syscheck ...

Кстати, как только вирусы попадают на комп., симантек их сразу удаляет в карантин. Может антивирус пока отключить?

Антивирус не надо отключать.
Вполне возможно, что вирус не попадает на компьютер, а уже там храниться:
[quote]Восстановление системы: включено[/quote]
[quote=hopeful]
Ситуация не изменилась, при загрузке пользователя и подключенном инете:
Троян - bnc6.tmp - C:\Temp
[/quote]
А без интернета?

1. Отключил восстановление системы (хотя странно, вроде отключал раньше)
2. Зашел под пользователем с Отключенным инет - симантек молчит.
3. Зашел под пользователем с Включенным инет:

Троян - bnc.tmp - C:\Temp
HacktoolRootkit - aspi32.sys - C:\windows\system32\drivers
Троян - bn16.tmp - C:\Temp
HacktoolRootkit - nicsk32.sys - C:\windows\system32\drivers

4. При входе под администратором с инетом и без, сообщений о вирусах нет.

Еще раз высылаю syscheck ...

Запустил avz под пользователем, при сканировании написал (под Админом этого не было):
обнаружена маскировка процесса manager3.exe c:\document and settings\manager3\manager3.exe.
Такой файл действительно есть.
Убить процесс из диспетчера процессов avz не получается, добавляется новый процесс с этим же именем, щас перезагружусь в защищеенном режиме попробую выловить файл запуска и ключи в реестре ...

[size="1"][color="#666686"][B][I]Добавлено через 1 час 18 минут[/I][/B][/color][/size]

Похоже финал в разборках. В итоге.
Под пользователем ключами HKKU... запускался левый процесс (manager3.exe). Этот процесс не опознавался антивирусом и пытался загрузить из интернет вирусы, которые симантек уже видел, и убивал.
Все оказалось просто.
Огромное спасибо за сотрудничество и наводку на правильное решение.
Загрузчик вирусов скопировал в карантин avz и высылаю вам, может пригодится для анализа.

Сделайте и выложите сюда лог по пункту 2 Диагностики, запустив AVZ от имени этого пользователя.

[quote=hopeful]Под пользователем ключами HKKU... [/quote]
В смысле HKСU... ? :)

Надеюсь, уже чистый лог - прилагаю ;-)

[QUOTE=AndreyKa;339940]
В смысле HKСU... ? :)[/QUOTE]

Да, конечно ... ;-)

В логе чисто. Вы уже удалили ключ в реестре, запускавший manager3.exe?

Да, удалил, там были две записи на запуск в ветках:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

Спасибо за сотрудничество.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\manager3\\manager3.exe - [B]Trojan-Downloader.Win32.Agent.begu[/B] (DrWEB: Trojan.DownLoad.23598)[/LIST][/LIST]