Автозагрузка userinit, красный раб. стол.

[pekale]

Стоял антвирь Авира. Комп постоянно подключен к инету по выделенке.
Авира слетела, а после перезагрузки фон рабочего стола стал красным посередине желтая надпись:
"Is strongly recommended to install an antispyware software to eliminate all security vulnerabilies. Click HERE to protect your PC", в свойствах экрана эта картинка отображается как файл с именем "index" (пиктограмма как html), переодически открывался IE и лез по адресу http:\\antyspider.us\176.
Заблочился редактор реестра и диспетчер задач, а у всех пользователей в "Пуск->Все программы->Автозагрузка" появился файл userinit.exe в msconfig'e строка "C:\WINDOWS\system32\drivers\services.exe",и файл beah684.exe, в дириктоиях %USERPROFILE% появились следующие файлы svchost.exe, ftp34.dll
. После удаления вышеперечисленных фалов, удаления из автозагрузки, после перезагрузки все восстанавливается. В безопасном не загружается уходит на перезагрузку.
После восстановления через cmd reg add редактирования реестра и безопасного режима, cureit с диска не запускается.
Логи AVZ и HiJekThis как написано в правилах прикрепил.

[PavelA]

Очень много всего наловлено
Скачать IceSword
В нем удалить
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Lhv46.sys
Wcf17.sys
C:\WINDOWS\system32\Drivers\Winqc52.sys
C:\Documents and Settings\Наталья\ie_updates3r.exe

после этого выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\cryptne.dll','');
 QuarantineFile('kddux.exe','');
 DelBHO('{FFFFFFFF-BBBB-4146-86FD-A722E8AB3489}');
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 DelBHO('{B5AF0562-94F3-42BD-F434-2604812C797D}');
 DelBHO('{B5AC49A2-94F2-42BD-F434-2604812C897D}');
 QuarantineFile('C:\WINDOWS\system32\blphc59aj0e95t.scr','');
 QuarantineFile('C:\WINDOWS\system32\drivers\jlmoh.sys','');
 SetServiceStart('aic32p', 4);
 DeleteService('aic32p');
 QuarantineFile('C:\WINDOWS\system32\sysbrw32.exe','');
 DeleteService('System Event Browser');
 DeleteService('Schedule');
 QuarantineFile('C:\Documents and Settings\Наталья\ie_updates3r.exe','');
 DeleteService('Google Online Services');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Winqc52.sys','');
 QuarantineFile('Wcf17.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Lhv46.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\sockins32.dll','');
 QuarantineFile('C:\WINDOWS\system32\hdxjd4g.dll','');
 QuarantineFile('C:\WINDOWS\system32\ftp34.dll','');
 QuarantineFile('C:\WINDOWS\system32\djki397g.dll','');
 QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
 QuarantineFile('c:\windows\system32\drivers\services.exe','');
 TerminateProcessByName('c:\windows\system32\drivers\services.exe');
 DeleteFile('c:\windows\system32\drivers\services.exe');
 DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
 DeleteFile('C:\WINDOWS\system32\djki397g.dll');
 DeleteFile('C:\WINDOWS\system32\ftp34.dll');
 DeleteFile('C:\WINDOWS\system32\hdxjd4g.dll');
 DeleteFile('C:\WINDOWS\system32\sockins32.dll');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Lhv46.sys');
 DeleteFile('Wcf17.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winqc52.sys');
 DeleteFile('C:\Documents and Settings\Наталья\ie_updates3r.exe');
 DeleteFile('C:\WINDOWS\system32\sysbrw32.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\jlmoh.sys');
 DeleteFile('C:\WINDOWS\system32\blphc59aj0e95t.scr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Прислать карантин. Сделать новые логи.