Удаление Trojan-Clicker.Win32.Costrat.gb

Преамбула:
Знакомый принес ноут с вирусами. Жалоба : "Не удается зайти ни в свой профиль, ни в профиль Администратора. Вводим пароль, появляется сообщение о загрузке параметров пользователя, показывается заставка рабочего стола, потом опять возникает приветственное окно и сообщение "Сохранение параметров" и виндовс выходит из учетной записи"
Проблема оказалась в измененном параметре HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (C:\WINDOWS\system32\userinit.exe, было изменено на C:\WINDOWS\userinit.exe). Поправили, все загрузилось:)

Теперь, собственно, амбула:)
Почистил временные файлы, кэш браузера, отключил "Восстановление системы", загрузился в сэйф-моде, проверил Kaspersky Virus Removal Tool - все чисто. Загрузился в обычном режиме, установил Антивирус Касперского 2009 (пробную версию), обновил базы, перегрузился, запустил полную проверку и на тебе: Trojan-Clicker.Win32.Costrat.gb в System Memory. Предлагает удалить и перезагружает компьютер, но после перезагрузки - все по новой:shocked:
Проверил еще раз Kaspersky Virus Removal Tool - все чисто.
AVZ с сегодняшними базами нашел вот такое:
1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=AAA2F000, размер=131072, имя = "\systemroot\system32\drivers\senekamvwtsdrc.sys"
1.5 Проверка обработчиков IRP
\FileSystem\FastFat[IRP_MJ_CREATE] = F77823B5 -> C:\WINDOWS\System32\drivers\1b00f326.sys
\driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = F7783207 -> C:\WINDOWS\System32\drivers\1b00f326.sys
Файла senekamvwtsdrc.sys на винте не нашел (искал FAR-ом) :)
Файл 1b00f326.sys есть, но удалить через "отложенное удаление" не удается
Подскажите, плз, куда копать:)
Логи AVZ и HiJackThis прилагаю.

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\1b00f326.sys','');
QuarantineFile('\systemroot\system32\drivers\senekamvwtsdrc.sys','');
DeleteFile('\systemroot\system32\drivers\senekamvwtsdrc.sys');
DeleteFile('C:\WINDOWS\System32\drivers\1b00f326.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=43805[/url]
Если удалится, то после всего этого поправить реестр для служб wuauserv и BITS

Спасибо!

[QUOTE=PavelA;387362]Выполнить скрипт:
-skipped-

Сделать заново логи после перезагрузки.

Загрузить карантин по Правилам через [url]http://virusinfo.info/upload_virus.php?tid=43805[/url][/QUOTE]
Скрипт выполнил
Сделал+приложил логи
С карантином не совсем разобрался :
имеется файл virusinfo_cure.zip, размер 22 байта, при открытии winrar-ом - архив - пустой.
При просмотре по F3 из FAR-а в файле 4 символа. Его так и слать или уже не надо?:)

[QUOTE=PavelA;387362]Если удалится, то после всего этого поправить реестр для служб wuauserv и BITS[/QUOTE]
Все чисто;)
Ща буду wuauserv лечить - с ней и вправду косяки какие-то

В логах все в порядке.

Рекомендуется установить SP3 + последующие обновления.

[URL="http://virusinfo.info/showthread.php?t=43700"]Про wuauserv и BITS[/URL].

[QUOTE=Bratez;387631]В логах все в порядке.
Рекомендуется установить SP3 + последующие обновления.
[URL="http://virusinfo.info/showthread.php?t=43700"]Про wuauserv и BITS[/URL].[/QUOTE]

Bratez, спасибо!

Поправил, как Вы и советовали, в реестре ImagePath с [B][COLOR="Red"]%fystemRoot%[/COLOR][/B] на [B][COLOR="Black"]%systemRoot%[/COLOR][/B] , но Автоматическое обновление и BITS так и не запустились
SP3 тоже ставиться не захотел - "отказано в доступе". По логам выяснил, что при попытке ручного запуска BITS и wuauserv, получаем ошибку 7028 от Service Control Manager "В раделе реестра wuauserv запрещен доступ к программам учетной записи SYSTEM, поэтому владельцем раздела стал диспетчер служб".
И вправду, после ручной смены разрешений на
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\BITS и
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services\wuauserv
все заработало!

Еще раз спасибо всем откликнувшимся!:beer: