SVCHOST.EXE PID:1432 загружает объкт, содержащий фишинговую ссылку (заявка №23102)

[CyberHelper]

Пользователь обратился в сервис 911, указав на следующие проблемы в работе его компьютера:
KAV 2010 (легальный) выдает информационное зеленое окошко:

C:/windows/sistem32/svchost.exe (PID: 1432): загрузка объекта http://auditthere.ru/bmw/pool.php, содержащего фишинговую ссылку. Запрещено.

Информация о блокировках поступает где-то раз в десять секунд. Закрытие браузера не влияет. Закрытие портов 1432 не влияет.
Если в файрволе закрыть сетевую активность, то гадина перестает надоедать.

Два раза проверил KAV-ом полный скан системы. Ничего. Попытка убить процесс svchost с PID 1432 приводит к перезагрузке системы по требованию сетевой службы. При этом KAV успевает выдать новое окно с тем же самым, но другим PID и объектом http://auditthere.ru/bmw/pokemon.php
Дата обращения: 16.06.2010 9:23:49
Номер заявки: 23102

[CyberHelper]

16.06.2010 20:50:28 на зараженном компьютере были обнаружены следующие вредоносные файлы:

1. C:\WINDOWS\System32\dimsntfy.dll - подозрительный, обрабатывается вирлабом
   
   • размер: 19456 байт
   • дата файла: 10.06.2008
   • версия: "5.1.2600.5512 (xpsp.080413-2113)"
   • копирайты: "© Microsoft Corporation. All rights reserved."
2. C:\temp\tor\Tor Browser\FirefoxPortable\App\firefox\plugins\npnul3 2.dll - подозрительный, обрабатывается вирлабом
   
   • размер: 22664 байт
   • дата файла: 23.08.2008 0:43:12
   • версия: "1, 0, 0, 15"
   • копирайты: "Copyright © 1995-2000"
3. c:\temp\tor\tor browser\firefoxportable\firefoxportable.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 137640 байт
   • дата файла: 23.08.2008 0:43:16
   • версия: "1.6.1.0"
   • копирайты: "John T. Haller"
4. C:\WINDOWS\taskman.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 15360 байт
   • дата файла: 10.06.2008
   • версия: "5.1.2600.0 (xpclient.010817-1148)"
   • копирайты: "© Корпорация Майкрософт. Все права защищены."
5. C:\WINDOWS\system32\attrib.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 12288 байт
   • дата файла: 10.06.2008
   • версия: "5.1.2600.5512 (xpsp.080413-2111)"
   • копирайты: "© Microsoft Corporation. All rights reserved."
6. C:\WINDOWS\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.alhe
   
   • размер: 123392 байт
   • дата файла: 09.02.2009 14:54:16
   • версия: "3.400.0.1004"
   • детект других антивирусов: DrWEB 5.0: Зловред Trojan.PWS.Panda.269; VBA32: Зловред OScope.Trojan.Bofa.02; BitDefender: Зловред Gen:Variant.FakeInit.4; Avast4: Зловред Win32:Malware-gen
7. C:\WINDOWS\system32\skdll.dll - подозрительный, обрабатывается вирлабом
   
   • размер: 5632 байт
   • дата файла: 10.06.2008
   • версия: "5.1.2600.0 (xpclient.010817-1148)"
   • копирайты: "© Microsoft Corporation. All rights reserved."
8. C:\WINDOWS\system32\sol.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 57344 байт
   • дата файла: 10.06.2008
   • версия: "5.1.2600.0 (xpclient.010817-1148)"
   • копирайты: "© Корпорация Майкрософт. Все права защищены."
9. C:\WINDOWS\system32\Drivers\M3000KNT.sys - подозрительный, обрабатывается вирлабом
   
   • размер: 254976 байт
   • дата файла: 05.05.2008 16:01:02
   • версия: "1.0.0.1"
10. C:\WINDOWS\system32\Drivers\PCASp50.sys - подозрительный, обрабатывается вирлабом
    
    • размер: 52800 байт
    • дата файла: 28.11.2006 21:46:28
    • версия: "5.5.18.05"
    • копирайты: "Copyright © 1995-2005 Printing Communications Assoc., Inc. (PCAUSA)"
11. c:\windows\system32\igfxext.exe - подозрительный, обрабатывается вирлабом
    
    • размер: 170520 байт
    • дата файла: 28.02.2008 11:00:10
    • версия: "6.14.10.4926"
    • копирайты: "Copyright 1999-2006, Intel Corporation"
12. C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys - подозрительный, обрабатывается вирлабом
    
    • размер: 108800 байт
    • дата файла: 01.07.2008 7:27:44
    • версия: "5.698.0701.2008 built by: WinDDK"
    • копирайты: "Copyright (C) 2003-2008 Realtek Semiconductor Corporation"

[CyberHelper]

17.06.2010 21:50:13 на зараженном компьютере были обнаружены следующие вредоносные файлы:

1. C:\WINDOWS\system32\qmgr.dll - подозрительный, обрабатывается вирлабом
   
   • размер: 409088 байт
   • дата файла: 10.06.2008
   • версия: "6.7.2600.5512 (xpsp.080413-2108)"
   • копирайты: "© Корпорация Майкрософт. Все права защищены."
2. C:\WINDOWS\system32\userinit.exe - подозрительный, обрабатывается вирлабом
   
   • размер: 26624 байт
   • дата файла: 10.06.2008
   • версия: "5.1.2600.5512 (xpsp.080413-2113)"
   • копирайты: "© Корпорация Майкрософт. Все права защищены."