Подцепил зверя...

Здравствуйте, проблема в следующем:
Перешёл на сайт, на который меня послал гугл по моему запросу, Аваст сразу же завопил что тут зловредный скрипт но я его победю.
Я решил не верить его словам и сразу же вышел с сайта. Примерно через час вылезло сообщение от того же Аваста что мол
пресечена попытка соединения процесса services.exe с сайтом ***.net/knok.php?id=тут_имя_юзера__йп__система_и_прочая_инфа.
Тут я заподозрил неладное, решил проверить систему но зверёк оказался умным, Аваст его не находит, avz, avp, HijackThis и CureIt блокирует.
После некоторых размышлений и плясок с бубном фирмы гугл была выявлена потенциальная конспиративная квартира зверя.
Ею оказалась дериктория C:\Program Files\Common Files\18F44871a(папка "пуста", вес "0 байт", не удаляется ввиду блокирования её процессом) а в ней папка keys. в Common Files также был обнаружен файл jqyrg4inedzz13m
куда всё записывал кейлогер. Также через некоторое время там же была создана ещё одна директория вида 18F44871b куда зверь засунул мой WM сертификат.
После этого была замечена очередная активность, при открытии текстового файла быстро напечаталась строка вида testtesttesttest.
Безопасный режим не решил проблему, с виндоус_мини_сиди удалось запустить avz но он нечего криминального не нашёл.
После очередных плясок с бубном удалось запустить avz с ключом am=y уже с основной системы.
На мой взгляд нечего криминального он опять не нашёл.
Ещё из ненормальной активности: использую Фаерфокс, перед тем как запуститься он крэшиться раз десять, вместе с системой стартует ИЕ которым я некогда не пользуюсь, services.exe иногда не хило грузит цпу.
Помогите, Люди добрые.
[B]virusinfo_cure.zip не влезает, залью отдельно.[/B]
[url]http://dump.ru/file/4837200[/url]

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('QuarantineFile('C:\WINDOWS\colacoca.BAT','');','');
QuarantineFile('c:\windows\system32\3d9f4988.exe','');
QuarantineFile('c:\windows\system32\zgbrnc.exe','');
DeleteFile('c:\windows\system32\zgbrnc.exe');
DeleteFile('c:\windows\system32\3d9f4988.exe');
DeleteFileMask('c:\program files\Common Files\18F44871a', '*.*', true);
DeleteDirectory('c:\program files\Common Files\18F44871a');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])

Карантин залил, только забыл про пароль, извините пожалуйста...
При выполнение скрипта, авз сказал что на 5-ой строке проблема с ")".
colacoca.bat делал я своими руками, пытался сделать что то на подобии напоминалки) Так что там нечего плохого нет в любом случае.
HijackThis запускается, также как и авз нормально, папки больше нету.
Все (no file) из HijackThis пофиксил.

[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
[/CODE]
В остальном подозрительного нет.

Обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Обновите [URL="http://www.java.com/ru/download/manual.jsp"]Java [/URL].

Всё будет сделано, спасибо за лечение, Доктор =)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\zgbrnc.exe - [B]Backdoor.Win32.Shiz.ahb[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Kazy.1809, AVAST4: Win32:Malware-gen )[/LIST][/LIST]