Не удаляется вирус в \drivers

Привет,
На одном из сайтов заразился вирусом (IE8 с последними обновлениями пропустил :)), SpiderGuard сразу указал на вирус в system32, конечно, удалил, но в процессах появился qttask.exe кушающий 100% одного из ядер, и не завершаемый. Заметил, что qttask.exe запускается при запуске IE, после переименования в qttask1.exe (он в папке Quick Time) перестал запускаться. Еще в system32 появилось несколько абракадабр.ехе, некоторые SpiderGuard определил, некоторые нет, но конечно все вирусы - удалил.
Проверил Microsoft Security Essentials - нашел trojan:WinNT/Bubnix.gen!A в C:\WINDOWS\system32\drivers\feizpuvt.sys, лечение которого вызывало ошибку в MSE "Error code 0x8007001f. Присоединенное к системе устройство не работает." Смешно :)
Далее, проверил AVZ, нашел два сомнительных момента -
во-первых,
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=085700)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055C700
KiST = 8050446C (284)
Функция NtCreateKey (29) перехвачена (806237B6->BA6A80E0), перехватчик spya.sys
Функция NtEnumerateKey (47) перехвачена (80623FF6->BA6C6CA2), перехватчик spya.sys
Функция NtEnumerateValueKey (49) перехвачена (80624260->BA6C7030), перехватчик spya.sys
Функция NtOpenKey (77) перехвачена (80624B88->BA6A80C0), перехватчик spya.sys
Функция NtQueryKey (A0) перехвачена (80624EAE->BA6C7108), перехватчик spya.sys
Функция NtQueryValueKey (B1) перехвачена (806219EE->BA6C6F88), перехватчик spya.sys
Функция NtSetValueKey (F7) перехвачена (80621D3C->BA6C719A), перехватчик spya.sys

- чем сомнительно - что после перезагрузки windows AVZ показывает все тоже самое, только перехватчик меняет последние две буквы (видел spse.sys, spta.sys, самого файла найти не смог)
И во-вторых, то самое
7. Эвристичеcкая проверка системы
>>> Подозрение на маскировку ключа реестра службы\драйвера "feizpuvt"

Удалить feizpuvt.sys не удалось, в т.ч. через "отложенное удаление" avz.
Такая ситуация на данный момент, что скажете?

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
DeleteService('synsend');
QuarantineFile('C:\WINDOWS\system32\drivers\jcuzjziznc.sys','');
DeleteService('maryyfgks');
QuarantineFile('C:\WINDOWS\system32\Drivers\feizpuvt.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\avnjuuas.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\avnjuuas.SYS');
DeleteFile('C:\WINDOWS\system32\Drivers\feizpuvt.sys');
DeleteFile('C:\WINDOWS\system32\drivers\jcuzjziznc.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи + такой [url]http://www.gmer.net/[/url]

+ к [B]V_Bond[/B]

1. Загрузитесь с LiveCD или подключите винчестер к другому компьютеру
2. Скопируйте C:\WINDOWS\system32\Drivers\feizpuvt.sys в другую папку и переименуйте
3. Удалите файл в исходном месте
4. Загрузитесь в нормальном режиме и отключите антивирус
5. Запакуйте переименованный файл с паролем [B]virus[/B] и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
6. Сделайте новые логи

Пока проделал только действия [B]V_Bond[/B], скрипт выполняется, завершает работу Windows, пропадает рабочий стол, остается синий экран и курсор мышки, дальше все повисает, только reset.
Папка карантина появляется пустая (кстати, просто проводником скопировать feizpuvt.sys не дает - "устройство не работает").
Логи AVZ думаю что не изменились.
GMER сразу при запуске говорит про rootkit и предлагает проверить все.
Если проверять все (заняло где-то полтора часа), появляется сообщение "warning у вас тут изменения руткитом" и дальше все виснет намертво.
Если проверять все кроме Files, то можно сохранить лог, но при выходе из GMER получается blue screen.
Иш, какие вирусы пошли!

[B]thyrex[/B] с LiveCD буду разбираться, подключить винчестер к другому компьютеру весьма затруднительно.

---upd---
Эх, была у меня единственная чистая болванка, поставил я на нее BartPE LiveCD, запустился, а там местный FileManager глючит так что в дереве все поля пустые - не показывает имена директорий-файлов, но хуже что этот BartPE не увидел мой винт, так что ничего и сделать нельзя .. Придется завтра уже искать новый диск и другой LiveCD ...

Удалил C:\WINDOWS\system32\Drivers\feizpuvt.sys (выслал карантин).
Но остается еще "перехватчик spya.sys", и какие-то tmp появились.
Новые логи прилагаю. GMER про руткиты уже не кричит, как раньше - теперь он spya.sys (точнее, сейчас это spao.sys) руткитом не считает.

Есть ли какие-нибудь идеи, как поймать перехватчика spya.sys? Файла такого не существует. MSE/DrWeb вирусов не находят. Но, время от времени, какой-нибудь обычный процесс начинает постоянно занимать 100% ядра, например, taskmgr.exe или lsass.exe, и если это системный процесс, как последний, незавершаемый, все виснет, окошки не перерисовываются, только reset. Иногда IE/Chrome подвисает, так что только завершать процесс и запускать заново .. Вирус живет и что-то творит!

Это не вирус:
[code]C:\Program Files\DAEMON Tools Lite\daemon.exe[/code]
Его драйвер.

в логах ничего подозрительного ...

Хм .. Что ж тогда все так глючить стало.
daemon у меня всегда стоял, но до сих пор ни разу не бывало в логах AVZ "перехватчика spxx.sys". И зачем он меняет эти буквы xx. И GMER его определял руткитом перед этим ..
Ладно, авось, тогда - спасибо за помощь!

[QUOTE='Commilfo;593813']И GMER его определял руткитом перед этим ..[/QUOTE]Руткитом был C:\WINDOWS\system32\Drivers\feizpuvt.sys

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \feizpuvt.sys - [B]Rootkit.Win32.Agent.aioy[/B] ( DrWEB: Trojan.NtRootKit.5980, BitDefender: Gen:Rootkit.Nixoa.1, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]