Неизвестный руткит (не могу избавиться)

Руткит, постоянно меняет имя драйвера, физически отсутствует на диске (проверял в Recovery Console при загрузке с CD), видимо динамически загружается чем-то при старте системы. В безопасном режиме драйвер так-же загружается. Разнообразные антивирусы ничего подозрительного не видят. Во всех автостартах (смотрел хайджек и автостартс руссиновича) ничего подозрительного не обнаружил (ну кроме автогенеренного ключа, оставшегося от загрузки драйвера, удалять его смысла никакого, потому что в следующий раз все равно новый создастся :) ). Единственное, что смог сделать утилитой AVZ - получить дамп памяти с загруженного драйвера. Данный дамп на virustotal.com был идентифицирован сканнером McAfee GW Edition как Trojan.Crypt.XPACK.Gen.
Лог hijackthis прилагаю вместе с зипованным дампом драйвера.

Перехват следующих IRP-запросов AVZ снять не может:
[SIZE=2][COLOR=#ff0000]\FileSystem\ntfs[IRP_MJ_CREATE] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = FC4B71E8 -> перехватчик не определен
[/COLOR][/SIZE]

Да, забыл написать как получил подарочек: пришла бухгалтер с флешкой, надо было документ распечатать. Всяческие autorun.inf на текущий момент на винте не наблюдаются ни на одном из разделов.

[Прошу прощения, когда логи будут готовы - выложу. Дамп удалил.]

Нужны логи, а не дампы. Прочитайте и выполните [URL="http://virusinfo.info/pravila.html"]правила.[/URL]

Вот логи, требуемые согласно правил.

Подозрительные по мнению AVZ (но абсолютно нормальные) программы:
Daemon Tools - эмулятор CD
MouseImp Live! - прокрутка правой кнопкой мыши
Lingoes - переводчик
winrar.bak - древний хлам.

"неизвестный перехватчик" принадлежит тому драйверу, дамп которого я выкладывал раньше.

Дамп куда дели?

Ну Вы сказали, что нужны логи, а не дампы, я решил не напрягать ваш сервер ненужной инфой. :)

Вот он, этот дамп. Что интересно, все сгенерированные имена файла драйвера пока-что начинались на латинскую "a".

Да, в высланных логах вредоносное чудо под этим именем:

C:\WINDOWS\System32\Drivers\a2sgroya.SYS

Это от Daemon Tools.

То что важно, то подчеркнуто. :)

Хм... мысль понял, но как-то раньше такого поведения не наблюдалось. Дело в то, что по времени совпало с постоянным "незакрытием Firefox", появлением в случайный момент времени строки "testtesttesttesttesttest..." в командной строке Тотала и сообщением при выключении/перезагрузке компьютера "Программа 'n'" (угу, именно n) не может быть завершена. Где-то с год назад пристрелил вручную руткит с похожим поведением (только файрфокса у меня тогда не было), но в том случае драйвер просто был скрыт перехваченными IRP_MJ_. Из-за схожести поведения в этот раз и заподозрил нехорошее.
Попробую деинсталлировать Daemon Tools и проверить еще раз.

[[email protected];479151]Дело в то, что по времени совпало с постоянным "незакрытием Firefox", появлением в случайный момент времени строки "testtesttesttesttesttest..."[/QUOTE]
Избитая тема. :)

[[email protected];479151]Попробую деинсталлировать Daemon Tools и проверить еще раз.[/QUOTE]
Это какая-то старая версия Daemon Tools.

Прошу прощения за панику, действительно Daemon Tools. Видимо новая версия. Волшебная. Как закрыть тему?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

А если не секрет, с чем связана эта избитая тема: ....времени строки "testtesttesttesttesttest...".... ? Или это по поводу "совпало по времени"?
Ну если Вы в курсе :)

[[email protected];479157]А если не секрет, с чем связана эта избитая тема: ....времени строки "testtesttesttesttesttest...".... ?
Ну если Вы в курсе :)[/QUOTE]
Немного в курсе. Она связана с AVZ. Пользуйтесь подсказкой и поищите на форуме самостоятельно. Удачи! :P