Неудаляемый руткит в MBR, нужна консультация.

Доброго Всем времени суток! Прошу за беспокойство.
Очень нужна Ваша консультация по удалению руткита, сидящего на HDD в MBR. Предполагаю, что компьютер взломали.
Примерно в декабре прошлого года заметил, что Windows XP стала работать медленно, замедлилась скорость доступа в сеть (всё как-бы через фильтр), постоянно изменяется размер файлов входа в систему- [B]winlogon.exe, csrss.exe, smss.exe[/B], появляются и всплывают в procexp какие-то [B]случайные DLL.[/B] Проверка на заражённой машине [B]TDSSKiller[/B] результата не дала. [B]AVZ[/B] видимо обрубает корни этому руту, но он вновь восстанавливается из MBR, "расшаривает" сетевые службы удалённого доступа, что-то пытается сам качать через порты (видно по трафику, хотя автообновление везде отключено). Переустановка Win XP не помогла решить проблему, при установке всплывают предупреждения, [B]система ставится очень долго[/B] (проверка из MBR руткитом?)-

Поставщик [B]HiPerfCooker_v1[/B] зарегистрирован в пространстве имен WMI Root\WMI с правами локальной системы. Это может привести к нарушениям зашиты, если поставщику не удастся олицетворить запрос пользователя.
Поставщик [B]CmdTriggerConsumer[/B] зарегистрирован в пространстве имен WMI Root\cimv2 с правами локальной системы. Это может привести к нарушениям зашиты, если поставщику не удастся олицетворить запрос пользователя.
Поставщик [B]Rsop Planning Mode Provider[/B] зарегистрирован в пространстве имен WMI root\RSOP, но не указал свойство HostingModel. Для запуска поставщика будет использоваться учетная запись LocalSystem. Это привилегированная учетная запись, и если поставщику не удастся олицетворить запрос пользователя, это может привести к нарушению безопасности. Проверьте, что поставщик не угрожает безопасности, и обновите свойство регистрации поставщика HostingModel до учетной записи с наименьшими привилегиями, необходимые для данной функциональности.

Чистка MBR сторонними программами не помогла, восстановление системы из AVZ на время решает проблему- размер winlogon.exe, csrss.exe, smss.exe становится меньше, система работает быстрее, но после перезагрузки- всё на круги своя. Возможно-ли удаление какой-то программой или всё-же необходимо резервное копирование данных и низкоуровневое форматирование HDD с очисткой MBR.
Уже читал вот тут, проблема не нова, пришлось человеку [B]проводить низкоуровневое форматирование и даже пререшивать BIOS[/B]- [URL="http://www.securitylab.ru/forum/forum27/topic18217/"]http://www.securitylab.ru/forum/forum27/topic18217/ .

[/URL]Очень нуждаюсь в Ваших советах, как далее поступать, какую программу использовать, дабы убить его корни в MBR. Логи сканирования прилагаю. Очень бы не хотелось делать резервную копию всего HDD и последующее низкоуровневое форматирование.
Заранее благодарю.

Уважаемый(ая) [B]Андрей 777[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[QUOTE]Внимание !!! База поcледний раз обновлялась 31.12.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
[/QUOTE]
Обновите базы AVZ. Сделайте новые логи.

[QUOTE]
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 2 TCP портов и 1 UDP портов
[/QUOTE]

Настройки AVZ крутить не нужно!

Свежие логи, базы обновил. User & Kernel-Mode блокировку не включал.
Забыл отметить- имя пользователя в диспетчере задач скрыто, "игры" с реестром не помогли.

Логи AVZ не те прислали.

Вот видимо те, простите, запутался уже просто.... Думал достаточно текстовых отчётов.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Кстати, после сканирования и всех манипуляций заметил, что размер файлов [B]winlogon.exe, csrss.exe, smss.exe[/B] ещё увеличился ~ на 4 кб. Имя всех пользователей в диспетчере задач также скрыто, не отображается значок сетевое подключение на панели инструментов, хотя выход в сеть есть.

Логи в порядке.

[LIST][*]Загрузите [B]SecurityCheck by glax24[/B] [URL="http://virusinfo.info/soft/tool.php?tool=SecurityCheck"]отсюда[/URL] и сохраните утилиту на [I]Рабочем столе[/I][*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7[/I])[*]Если увидите [U]предупреждение от вашего фаервола[/U] относительно программы SecurityCheck, не блокируйте ее работу.[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B];[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*][/LIST]

Выходит рутник самоликвидировался, просто как-то загадочно?
Спасибо, тем не менее, что уделили мне, столь скромному пользователю, часть своего драгоценного времени.

Я думаю у вас и не было никакого руткита, хотя ваша система дырявая как решето. Обновите:

Service Pack 2 [color=red][b]Внимание! [url=http://www.microsoft.com/ru-ru/download/details.aspx?id=24]Скачать обновления[/url][/b][/color]
Internet Explorer 6.0.2900.2180 [color=red][b]Внимание! [url=http://windows.microsoft.com/ru-RU/internet-explorer/downloads/ie-8]Скачать обновления[/url][/b][/color]
[color=red][b]Автоматическое обновление отключено[/b][/color]
Автоматическое обновление (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Восстановление системы отключено
---------------------------- [ Antivirus_WMI ] ----------------------------
AntiVir Desktop
Антивирус обновлен
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Avira AntiVir Personal - Free Antivirus v.10.0.0.67
--------------------------- [ OtherUtilities ] ----------------------------
CCleaner v.4.07
Spybot - Search & Destroy v.1.6.2
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 11 Plugin v.11.1.102.55 [color=red][b]Внимание! [url=http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_17_plugin.exe]Скачать обновления[/url][/b][/color]
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 19.0 (x86 ru) v.19.0 [color=red][b]Внимание! [url=http://www.mozilla.org/ru/firefox/fx]Скачать обновления[/url][/b][/color]
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files\Mozilla Firefox\firefox.exe v.19.0.0.4794
------------------------------ [ MS Office ] ------------------------------
Уязвимости взяты из скрипта: [url]http://dataforce.ru/~kad/ScanVuln.txt[/url]
Уязвимость компонента Microsoft Graphics делает возможным удаленное выполнение кода [b][url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=bfc3b881-4b95-4a22-998d-048487406d4f]Скачать обновления[/url][/b]
Для установки этого обновления требуется установить SP3 для Office 2003 [b][url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=e25b7049-3e13-433b-b9d2-5e3c1132f206]Скачать обновления[/url][/b]

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]

[QUOTE]Я думаю у вас и не было никакого руткита[/QUOTE]
[B]Буду надеяться, что так оно и есть[/B]. Смутили [B]HiPerfCooker_v1, CmdTriggerConsumer, Rsop Planning Mode Provider в WMI-Root[/B] при установке, самораскрытие сетевых служб удалённого доступа, отчего и решил- модификация MBR!!! Информации в сети мало, по всем признакам похоже на рут. Спасибо Вам ещё раз, поживём- понаблюдаем за системой.