Rootkit.Win32.Agent.p

Антивирус Касперского обнаружил этот вирус в файле rdriv.sys, при попытке удаления его АВК появляется сообщение о том, что "удаление невозможно, объект заблокирован" и дальше "удалить невозможно, используется другим процессом".
В безопасном режиме запускала сканирование АВК, Ad-Aware, AVZ. Но в отчете последнего говорится "удаление файла запрещено настройками".
При запуске полной проверки компьютера АВК в отчете появился помимо зараженного файла ...\system32\rdriv.sys еще и ...\system32\i с пометкой "заражен вирусом Trojan-Downloader.BAT.Ftp.ab"
При запуске в обычном режиме программы АВЗ для сканирования и исследования системы компьютер обе попытки вылетал, так что удалось сохранить только лог Hijack.
Помогите, пожалуйста!
я еще раз попробовала сохранить лог АВЗ -вроде бы получилось

1. Нужно прислать нам файлы:
bnmiqvee.exe
D:\WINDOWS\win32ssr.exe

2. Что делают остатки ДрВеб? Он был установлен раньше? Была сделана деинсталяция перед установкой КАВ?
3. Если АВЗ работает в безопасном режиме - сделать логи в безопасном режиме. В том числе лог сканирования

[QUOTE=Irina]Вот эти файлы, а Др.Веб удаляла перед КАВ кажется деинсталятором[/QUOTE]
кто-нибудь файлы видел?

Посмотрите, пожалуйста, еще раз

Файлы выслать как написано в правилах. На email!

Извините, я пароль не сделала для архива

[QUOTE=Irina]Извините, я пароль не сделала для архива[/QUOTE]
- значит не дойдёт.

d:\windows\system32\bnmiqvee.exe
Прислать нам :)

потом зайти в Safe mode и стереть
в Hijack поставить галки напротив -
O4 - HKLM\..\Run: [Microsoft Update 32] bnmiqvee.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] bnmiqvee.exe
и нажать на Fix
PS: Sdbot очередной - свежий :)

Кстати этот мусор по почте свалился, его не мешает ещё и в почтовом ящике найти и тоже удалить.

А вы не подскажете как сделать пароль, чтоб все дошло? и куда вам прислать?
А что такое: Sdbot очередной - свежий ?

[QUOTE=Irina]А вы не подскажете как сделать пароль, чтоб все дошло? и куда вам прислать?[/QUOTE]
Прислать - как в правилах написано -
[email][email protected][/email], пароль [b]virus[/b]
[QUOTE=Irina]А что такое: Sdbot очередной - свежий ?[/QUOTE]
Червяк такой в интернете бегает, называется SDBot, это свежая версия, потому как касперский его пока не ловит.

Подскажите, пожалуйста, как и где установить этот пароль?

[QUOTE=Irina]Подскажите, пожалуйста, как и где установить этот пароль?[/QUOTE]
Правила -
Приложение 4. Поиск файлов при помощи AVZ.
1. Выберите "Файл"-"Добавление в карантин по списку".
2. В верхнем окне введите список файлов которые Вас просили прислать.
3. Нажмите на кнопку "Пуск" и дождитесь появления в нижнем окне надписи "Процесс добавления файлов завершен"
4. Закройте текущее окно "Добавление в карантин по списку"
5. Выберите из меню "Файл"->"Просмотр карантина".
6. Справа в списке файлов отметьте те файлы которые хотите выслать.
7. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.
8. Полученный архив нужно выслать на [email][email protected][/email]

Теперь отправила и удалила, все что сказали

Присланные (оба - Win32.HLLW.MyBot.based /drweb/)
d:\windows\system32\bnmiqvee.exe
D:\WINDOWS\win32ssr.exe

AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found Trojan.Spybot-123
Dr.Web Found Win32.HLLW.MyBot.based
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found a variant of Win32/Rbot
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found nothing

Подскажите, что это значит и нужно ли сделать что-то еще?

[QUOTE=Shu_b]D:\WINDOWS\win32ssr.exe[/QUOTE]
Вот, под драйвера начал маскироваться :(
пуск/выполнить 2 команды
[b]sc stop Win32Sr[/b]
[b]sc delete Win32Sr[/b]
потом стереть - D:\WINDOWS\win32ssr.exe
и повторить логи на проверку.

[quote=RiC]
потом стереть - D:\WINDOWS\win32ssr.exe
и повторить логи на проверку.[/quote]
а этот файл не удаляется, появляется "снимите защиту от записи"
можно ли удалить его из 98-ой системы?

[QUOTE=Irina]а этот файл не удаляется, появляется "снимите защиту от записи"[/QUOTE]
Тогда так -
AVZ - Файл->Отложенное удаление -> D:\WINDOWS\win32ssr.exe
Перезагрузка
Пуск/выполнить - в этом случае только 1-ну команду
[b]sc delete Win32Sr[/b]

Если есть 98-я - даже нужно.

Вот результаты+ отчет о сканировании через АВЗ, через "выполнить" я выполнила обе команды, а удалила через отложенное удаление.

Ну и, проблемы остались или пропали?

[QUOTE=Irina]Вот результаты+ отчет о сканировании через АВЗ, через "выполнить" я выполнила обе команды, а удалила через отложенное удаление.[/QUOTE]
Судя по логам - чисто.
Визуально проблемы остались ?