Win32 Wigon.BA trojan, хелп

Дико тормозила загрузка интернет-страниц, после этого начал тормозить комп, после рестарта грузился еле-еле.

При первичной проверке NOD32 после рестарта удалил \Documents and Settings\profile\win.exe, пометив как подозрение на Win32 Wigon.BA trojan.

В proexp висят 2 процесса svchost.exe отдельно от группы, tcpview показывает немеренную сетевую активность со стороны одного из тех процессов svchost (по id процесса тот же).

Avz заподозрил еще [COLOR=black]C:\WINDOWS\system32\Drivers\Ylk88.sys[/COLOR], еще несколько файлов из C:\WINDOWS\Installer\.

После скана и лечения avz и рестарта активность, судя по tcpview, сохраняется.

Помогите, плиз.

Карантин

Пофиксите
[CODE]O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll[/CODE]
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('tcpsr');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ylk88.sys','');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Ylk88.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки закачайте карантин по красной ссылке вверху темы и повторите логи.

При выполнении скрипта на каждый файл было по сообщению "Для удаления необходима перезагрузка". После перезагрузки файлы остались. При удалении руками и разблокировании говорит то же, самое "Удаление файла невозможно. Удалить при следующей перезагрузке?". После очередного рестарта всё по-прежнему.
Как удалить?

Скопируйте скрипт в текстовый файл, загрузитесь в безопасном режиме, запустите АВЗ и выполните скрипт.

Значит надо скачивать IceSword. [url]http://uploading.com/ru/files/VVKG3ZDO/1.zip.html[/url]

В нем сначала куда-нибудь скопировать:'C:\WINDOWS\system32\WinNt32.dll',
'C:\WINDOWS\system32\Drivers\Ylk88.sys', а потом их удалить.

После этого выполнить скрипт Rene-gad