Помогите излечить вирус

Юзверь обратился ко мне с вопросом что система виснет! Я прогнал нодом там оказалось несколько троянов, которые были удалены! Но передо мной он (юзер) успел еще кучу файлов поудалять! Короче остался один "C:\WINDOWS\ieupdr.exe - модифицированный Win32/TrojanDownloader.Tiny.NJ троян" и в системном трее не отовражаются значки локалки и USB (при подключении флешки)!
Подскажите как вылечить и что сделать для реанимирования системы?
Переустанавливать очень нежелательно! С помощью AVZ сделал исследование системы - результат в приложенном файле!

1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%WinDir%\Temp\startdrv.exe','');
QuarantineFile('%Windir%\system32\drivers\runtime.sys','');
QuarantineFile('%Windir%\system32\drivers\runtime2.sys','');
QuarantineFile('%Windir%\system32\drivers\ip6fw.sys','');
DeleteFile('%Windir%\Temp\startdrv.exe');
DeleteFile('%Windir%\system32\drivers\runtime2.sys');
DeleteFile('%Windir%\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
QuarantineFile('C:\WINDOWS\system32\ramtmb.dll','');
QuarantineFile('C:\WINDOWS\system32\d4ghggf4g.dll','');
QuarantineFile('C:\WINDOWS\system32\jkd845jg.dll','');
QuarantineFile('sysfldr.dll','');
QuarantineFile('C:\temp\winlogan.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('\??\C:\WINDOWS\system32\Drivers\TSKNF601.SYS','');
QuarantineFile('Tba14.sys','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\temp\winlogan.exe');
DeleteFile('sysfldr.dll');
DeleteFile('C:\WINDOWS\system32\jkd845jg.dll');
DeleteFile('C:\WINDOWS\system32\d4ghggf4g.dll');
DeleteFile('C:\WINDOWS\system32\ramtmb.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.

2.Выслать карантин согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]

[quote=zerocorporated;150715]1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%WinDir%\Temp\startdrv.exe','');
QuarantineFile('%Windir%\system32\drivers\runtime.sys','');
QuarantineFile('%Windir%\system32\drivers\runtime2.sys','');
QuarantineFile('%Windir%\system32\drivers\ip6fw.sys','');
DeleteFile('%Windir%\Temp\startdrv.exe');
DeleteFile('%Windir%\system32\drivers\runtime2.sys');
DeleteFile('%Windir%\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
QuarantineFile('C:\WINDOWS\system32\ramtmb.dll','');
QuarantineFile('C:\WINDOWS\system32\d4ghggf4g.dll','');
QuarantineFile('C:\WINDOWS\system32\jkd845jg.dll','');
QuarantineFile('sysfldr.dll','');
QuarantineFile('C:\temp\winlogan.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('\??\C:\WINDOWS\system32\Drivers\TSKNF601.SYS','');
QuarantineFile('Tba14.sys','');
DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
DeleteFile('C:\temp\winlogan.exe');
DeleteFile('sysfldr.dll');
DeleteFile('C:\WINDOWS\system32\jkd845jg.dll');
DeleteFile('C:\WINDOWS\system32\d4ghggf4g.dll');
DeleteFile('C:\WINDOWS\system32\ramtmb.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.

2.Выслать карантин согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL][/quote]
пока я бегал юзер успел воспользоваться адваре и часть поудалять!
Да, и к выше перечисленным проблемам еще и переключатель языков только с клавиатуры неработает!

После выполнения скрипта выполните полную проверку [URL="ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe"]CureIt[/URL] и повторите логи [B][URL="http://virusinfo.info/showthread.php?t=1235"]по правилам[/URL][/B]

[quote=zerocorporated;150721]После выполнения скрипта выполните полную проверку [URL="ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe"]CureIt[/URL] и повторите логи [B][URL="http://virusinfo.info/showthread.php?t=1235"]по правилам[/URL][/B][/quote]
какие логи: CureIt или AVZ?

Логи AVZ + лог hijackThis

Вот, наконец все сделал, шлю логи!
Да, CureIt нашел несколько файлов, я нажимал лечить, но он их удалил, поэтому шлю и его лог!

пофиксите...
[code]
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\
[/code]
выполните скрипт ...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\ramtmb.dll','');
DeleteFile('C:\WINDOWS\system32\ramtmb.dll');
DelCLSID('C4DE5B15-4FFE-4c02-8CB3-CAD24A33562B');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
сделайте новые логи...

F2 - REG:system.ini: UserInit=userinit.exe, -- надо профикстить в hijackthis

Профиксил, применил скрипт, а система все равно если сетевой кабель подключен - виснет. Отключаю сетевой кабель, перезапускаю (жестко) - запускается, а затем только кабель подключаю! Короче, пока что ничего не получилось! Повторить все занового и опять вам логи прислать?

Да, пришлите логи...

Вот новые логи

сделайте лог [url]http://virusinfo.info/showthread.php?t=10387[/url]

[quote=V_Bond;150776]сделайте лог [URL]http://virusinfo.info/showthread.php?t=10387[/URL][/quote]
А я так и непонял, в каком режиме надо логи сделать?

В защищеннном (safe mode)

готово

выполните скрипт...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('system32\DRIVERS\Arp1349.sys','');
QuarantineFile('Arp1349.sys','');
BC_QrSvc('Arp1349');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...

закачал

[b]Trojan-Proxy.Win32.Agent.nu[/b] C:\WINDOWS\system32\DRIVERS\Arp1349.sys

И что сделать надо?