Синий экран в safe mode и при выходе из системы

Симптомы: синий экран при выходе из системы (перезапуск, отключение), при попытке загрузиться в любой вариант безопасной загрузки. Internet Explorer открывается и тут же закрывается. Пробовал поставить Firefox - окно визарда при первом запуске тоже слилось. Похоже на [URL]http://virusinfo.info/showthread.php?t=47407[/URL] . Стоит Dr.Web. Им были вычищены Trojan.NtRootKit.2901 и свеженайденный Trojan.WinSpy.173 (вчера его не обнаруживал ни DrWeb, ни Касперский; Касперский до сих пор не ловит). Но эффект остался. AVZ показывает подозрительную строку в списке модулей уровня ядра, spzt.sys
в прилагаемых логах. Похоже, новый вариант RootKit.

Пробовал посмотреть реестр, вставив зараженный винт в другой компьютер - ничего подозрительного в сервисах и автозапуске не нашел :(

Может, заодно расскажете, как запускает себя Trojan.NtRootKit.2901, чтобы я мог глазками посмотреть на нечто аналогичное? Или какие другие советы? virusinfo_syscheck.zip забыл сделать, а сын (хозяин компа) уже спит :( Завтра доложу, если существеннен.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=50130[/url]).

Файл [B]C:\WINDOWS\system32\drivers\aec.sys[/B] восстановите из дистрибутива или скопируйте из здоровой системы.

Сделайте новый лог согласно п.2 раздела Диагностика.

Карантин послал, вот virusinfo_syscheck.zip. Зараза, похоже, осталась на месте.

[B]aec.sys[/B] я еще вчера вернул.

[QUOTE=Lurker;433398]Зараза, похоже, осталась на месте.[/QUOTE]
Не вижу в логе ничего плохого.
Какие проблемы остались?

В безопасный режим всё так же не грузится - BSOD STOP 0x0000007B, жму на ESC на загрузку sptd.sys или нет - без разницы. Хотя в обычном режиме загрузка, перезагрузка, отключение заработали, браузеры (и IE, и FireFox) нормально живут...

Попробуйте в AVZ: [I]Файл - Восстановление системы [/I]- отметить п.10 - [I]Выполнить[/I].

Вот теперь всё :) Спасибо!

И как называется этот зверь, который был вычищен?

[B]Trojan.Win32.Patched.fr[/B]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\sfcfiles.dll - [B]Trojan.Win32.Patched.fr[/B] ( DrWEB: Trojan.WinSpy.175 )[/LIST][/LIST]