Перестал работь терминалсервер

вчера с утра обнаружил что не могу подключится к компу при помощи удаленного рабочего стола. по приходу домой нашел в тэмпе скрипт и подозрительную dll-ку с именем из хаотичного набора символов, в сэйв моде убил. антивирус доктор веб не чего не неходит, авптол тоже не чего не нашел.

в журнале системы есть сообщение терминалсарвиса:
[SIZE=1][SIZE=2]Ошибка создания сессии служб терминалов. Код состояния 0xC0000037.[/SIZE]

[SIZE=2]пока в темпе была та dll-ка у провайдера по команде трафшоу покзывало кучу открытых сэсий с моего IP при условии что все прожения использующие интернет закрыты. после убийства ее сессии исчезли[/SIZE]

[SIZE=2]логи прилогаю[/SIZE]
[/SIZE]

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
DeleteFile('C:\WINDOWS\system32\twext.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи

вот, сделал

но такого файла там не нашел C:\WINDOWS\system32\twext.exe

Чисто...

супер!!! СПАСИБО!!!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\twext.exe - [B]Trojan-Spy.Win32.Zbot.nxf[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]