DrWeb CureIt - backdoor.bulknet.507

Доброго времени суток

Система Windows XP SP3. Перестала работать сеть, причем даже не определялось подключен сетевой кабель или нет - всегда был не подключен. Был установлен Eset Smart Security. В диспетчере устройств минипорты Eset отображались с желтыми восклицательными знаками - устройство не может стартовать. Через установку/удаление программ ESS не удалялся ссылаясь на ошибку удаления драйверов в процессе удаления. С сайта Eset была скачана специальная альтернативная утилита удаления ESS в безопасном режиме и применена с соблюдением приводимой на сайте инструкции. В процессе работы утилиты были удалены данные из реестра касающиеся ESS, но и эта альтернативная утилита выдала ругательства по поводу удаления непосредственно с диска файлов касающихся ESS (C:\WINDOWS\system32\drivers\epfwndis.sys и еще нескольких), причем после её работы при попытке вручную удалить/скопировать/открыть FAR'ом эти файлы в нормальном режиме - доступ запрещен, ошибка удаления/копирования/открытия и в свойствах файла вкладка "Безопасность" отсутствует (у рядом располагающихся файлов эта фкладка присутствует, выполнялся chkdsk c: /f - всё осталось также без изменений). После этого при загрузке в обычном режиме сеть заработала. Была проведена проверка DrWeb CureIt. В результате проверки CureIt обнаружил что C:\WINDOWS\system32\drivers\NDIS.SYS инфицирован backdoor.bulknet.507 - будет излечен после перезагрузки. При проведении повторной проверки CureIt после перезагрузки - снова инфицирован NDIS.SYS.
Логи прилагаю. Помогите с лечением - очень не хочется переустанавливать систему.

[B]- Выполните скрипт в AVZ:
[/B][code]
begin
ClearQuarantine;
BC_QrFile('C:\WINDOWS\system32\Drivers\NDIS.sys');
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

После перезагрузки:

[B]- Выполните скрипт в AVZ:
[/B][code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]
Файл [B]quarantine.zip[/B] загрузите по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B].

Карантин:

Файл сохранён как 100924_095609_quarantine_4c9c3d791cf57.zip
Размер файла 145195
MD5 d3a9f7b06705cdd855e708772f2bc03c

NDIS.sys - [B][COLOR="Red"]Virus.Win32.Protector.f[/COLOR][/B]
---------------------------------------------------------------

Файл [B]NDIS.sys[/B] замените чистым из дистрибутива ([URL=http://virusinfo.info/showthread.php?t=51654]как это сделать?[/URL])

Сделайте новые логи

NDIS.SYS заменил на оригинальный из консоли восстановления. Похоже что всё поправилось. Остатки Eset Smart Security удалились успешно и DrWeb CureIt заражений больше не находит.
Логи прилагаю

пофиксите в hijackthis:
[CODE]R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe[/CODE]

В логах чисто.

Пофиксил. Спасибо большое. Лечение успешно.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\ndis.sys - [B]Virus.Win32.Protector.f[/B] ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )[/LIST][/LIST]