Неудаляемый вирус (заявка №27496)

Пользователь обратился [URL=http://virusinfo.info/911test]в сервис 911[/URL], указав на следующие проблемы в работе его компьютера:
В C:\Documents and Settings\Evgeniy\Local Settings\Temporary Internet Files появляются tbf.exe, irc2.exe и clc.exe
в свойствах источники:
http://208.53.183.4/tbf.exe
http://208.53.183.222/clc.exe
http://74.63.78.41/clc.exe
http://208.53.183.113/tbf.exe
http://208.53.183.124/irc2.exe
http://208.53.183.46/clc.exe

В C:\Documents and Settings\All Users\Application Data\
B7B394A5D2.sys
KGyGaAvL.sys

C:\Temp (цифры).exe

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\Z23MUDYV\t[1].exe

C:\WINDOWS\system32 (31,37,83).exe

C:\RECYCLER\S-1-5-21-***

C:\System Volume Information\_restore(***)\RP11\A0012562.exe

В реестре, создаются записи:

HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache\ | C:\WINDOWS\cfdrive32.exe
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache\ | C:\WINDOWS\system32\msvmiode.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ | MSODESNV7 | "C:\WINDOWS\system32\msvmiode.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ | Microsoft Driver Setup | "C:\WINDOWS\cfdrive32.exe"
HKUS\S-1-5-21-484763869-515967899-1801674531-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache\ | C:\WINDOWS\cfdrive32.exe
HKUS\S-1-5-21-484763869-515967899-1801674531-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache\ | C:\WINDOWS\system32\msvmiode.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = C:\RECYCLER\S-1-5-21-7488701346-1188046656-398411520-5884\syscr.exe,explorer.exe,C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe

Даже после удаления всех этих файлов и закрытия процессов непрерывно создается
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ | Shell | "C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe"
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ | Taskman | "C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe"
HKUS\S-1-5-21-484763869-515967899-1801674531-1003\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ | Shell | "C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe"

Как бы вычислить что их создает?...

cfdrive32.exe через несколько минут забивает буфер из-за чего не запускается практически ни одна программа.
Это то, что я нашел. После чистки и перезагрузки все создается заново.
Дата обращения: 17.08.2010 18:06:17
Номер заявки: [URL=http://virusinfo.info/911test/?action=case_show_directions&case_id=27496]27496[/URL]

[B]17.08.2010 18:20:21[/B] на зараженном компьютере были обнаружены следующие вредоносные файлы:
[LIST=1][*] [B]C:\WINDOWS\Installer\{32801811-08D2-41E8-84A0-F3AA80012E0D}\CTS.exe1_AA3090BB9F4E41529399DC7597D68D3A.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 53248 байт[*] дата файла: 11.09.2010 10:50:22[*] версия: "14.0.162"[*] копирайты: "Copyright (C) 2007 Macrovision Corporation"[/LIST][*] [B]c:\windows\system32\msvmiode.exe[/B] - [URL=http://www.securelist.com/ru/find?words=Net-Worm.Win32.Kolab.kiu]Net-Worm.Win32.Kolab.kiu[/URL]
[LIST][*] размер: 158720 байт[*] дата файла: 17.08.2010 20:53:18[*] детект других антивирусов: DrWEB 5.0: Зловред Trojan.MulDrop1.42320[/LIST][*] [B]C:\WINDOWS\system32\VC6DLG.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 122880 байт[*] дата файла: 10.05.2004 11:44:56[*] версия: "6.0.0.0"[*] копирайты: "Copyright © 2000-2004 by H+H Software GmbH"[/LIST][*] [B]C:\WINDOWS\system32\vc6extse.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 147456 байт[*] дата файла: 07.05.2004 9:19:46[*] версия: "6.0.0.1"[*] копирайты: "Copyright © 2000-2004 by H+H Software GmbH"[/LIST][/LIST]

[B]17.08.2010 21:10:23[/B] на зараженном компьютере были обнаружены следующие вредоносные файлы:
[LIST=1][*] [B]C:\WINDOWS\system32\24.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 81920 байт[*] дата файла: 17.08.2010 21:18:06[/LIST][*] [B]C:\WINDOWS\system32\07.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 81920 байт[*] дата файла: 17.08.2010 21:09:44[/LIST][*] [B]C:\Temp\254.exe[/B] - [URL=http://www.securelist.com/ru/find?words=Net-Worm.Win32.Kolab.kiu]Net-Worm.Win32.Kolab.kiu[/URL]
[LIST][*] размер: 158720 байт[*] дата файла: 17.08.2010 22:47:32[*] детект других антивирусов: DrWEB 5.0: Зловред Trojan.MulDrop1.42320[/LIST][*] [B]C:\Temp\286.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 81920 байт[*] дата файла: 17.08.2010 22:47:30[/LIST][*] [B]C:\Temp\95719.exe[/B] - [URL=http://www.securelist.com/ru/find?words=Net-Worm.Win32.Kolab.kiu]Net-Worm.Win32.Kolab.kiu[/URL]
[LIST][*] размер: 62464 байт[*] дата файла: 17.08.2010 22:47:48[/LIST][*] [B]C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 81920 байт[*] дата файла: 17.08.2010 22:47:30[/LIST][*] [B]c:\windows\system32\msvmiode.exe[/B] - [URL=http://www.securelist.com/ru/find?words=Net-Worm.Win32.Kolab.kiu]Net-Worm.Win32.Kolab.kiu[/URL]
[LIST][*] размер: 158720 байт[*] дата файла: 17.08.2010 22:47:32[*] детект других антивирусов: DrWEB 5.0: Зловред Trojan.MulDrop1.42320[/LIST][*] [B]c:\windows\cfdrive32.exe[/B] - [URL=http://www.securelist.com/ru/find?words=Net-Worm.Win32.Kolab.kiu]Net-Worm.Win32.Kolab.kiu[/URL]
[LIST][*] размер: 62464 байт[*] дата файла: 17.08.2010 22:47:48[/LIST][/LIST]

[B]17.08.2010 23:10:30[/B] на зараженном компьютере были обнаружены следующие вредоносные файлы:
[LIST=1][*] [B]C:\Documents and Settings\Evgeniy\Local Settings\Temporary Internet Files\Content.IE5\I8A2V7H9\l[1].exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 81920 байт[*] дата файла: 18.08.2010 1:33:38[/LIST][*] [B]C:\Documents and Settings\Evgeniy\Local Settings\Temporary Internet Files\Content.IE5\IW0237RC\tbf[1].exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 81920 байт[*] дата файла: 18.08.2010 1:33:56[/LIST][*] [B]C:\Temp\420.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 81920 байт[*] дата файла: 18.08.2010 1:33:56[/LIST][*] [B]C:\RECYCLER\S-1-5-21-4600920231-6725875052-664523733-6433\syscr.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 81920 байт[*] дата файла: 18.08.2010 1:33:38[/LIST][*] [B]C:\Temp\213183.exe[/B] - [URL=http://www.securelist.com/ru/find?words=Net-Worm.Win32.Kolab.kiu]Net-Worm.Win32.Kolab.kiu[/URL]
[LIST][*] размер: 158720 байт[*] дата файла: 17.08.2010 18:30:24[*] детект других антивирусов: DrWEB 5.0: Зловред Trojan.MulDrop1.42320[/LIST][*] [B]C:\Temp\155900.exe[/B] - [URL=http://www.securelist.com/ru/find?words=Net-Worm.Win32.Kolab.kiu]Net-Worm.Win32.Kolab.kiu[/URL]
[LIST][*] размер: 62464 байт[*] дата файла: 17.08.2010 9:39:20[/LIST][*] [B]C:\WINDOWS\system32\13.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 81920 байт[*] дата файла: 18.08.2010 1:33:38[/LIST][*] [B]C:\WINDOWS\system32\51.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 81920 байт[*] дата файла: 18.08.2010 1:26:08[/LIST][*] [B]E:\myfolder\myfile.exe[/B] - [URL=http://www.securelist.com/ru/find?words=Trojan.Win32.Agent.exey]Trojan.Win32.Agent.exey[/URL]
[LIST][*] размер: 90112 байт[*] дата файла: 11.09.2010 12:07:18[*] детект других антивирусов: DrWEB 5.0: Зловред Trojan.DownLoader1.17472; BitDefender: Зловред Gen:Variant.Inject.1[/LIST][*] [B]C:\WINDOWS\system32\msvmiode.exe[/B] - [URL=http://www.securelist.com/ru/find?words=Net-Worm.Win32.Kolab.kiu]Net-Worm.Win32.Kolab.kiu[/URL]
[LIST][*] размер: 158720 байт[*] дата файла: 17.08.2010 9:39:22[*] детект других антивирусов: DrWEB 5.0: Зловред Trojan.MulDrop1.42320[/LIST][*] [B]C:\Documents and Settings\Evgeniy\Application Data\ltzqai.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 81920 байт[*] дата файла: 17.08.2010 9:39:18[*] детект других антивирусов: DrWEB 5.0: Зловред Win32.HLLW.Autoruner.22584[/LIST][/LIST]