Тормоза+Rootkit.Win32.Agent.aha+куча троянов=Помогите!

[tequomo]

Здравствуйте!
Система стала очень медленно работать, особенно браузеры (IE, Opera). Проверил AVZ с обновленными базами, нашел вот что:

Код:

 
...
Функция IofCallDriver (804E3D45) - модификация машинного кода. Метод JmpTo. jmp F8ABD8C0 \SystemRoot\system32\DRIVERS\secdrv.sys
...
C:\WINDOWS\system32\drivers\secdrv.sys >>>>> Rootkit.Win32.Agent.aha  успешно удален
C:\WINDOWS\system32\dllcache\beep.sys >>> подозрение на FraudTool.Win32.UltimateDefender.cm ( 0744B09A 064647B9 0015A547 002869F8 34816)
C:\WINDOWS\system32\dcsvc32.dll >>> подозрение на Trojan-Dropper.Win32.Crypter.p ( 0A8CA48D 0B04208D 002FA0F4 0027DD5A 39936)
Прямое чтение C:\WINDOWS\system32\wsnpoem\audio.dll
C:\Documents and Settings\JO.IO\Local Settings\Temp\Binaries1.zip/{ZIP}/WinReanimator.exe >>>>> FraudTool.Win32.Reanimator.b 
C:\Documents and Settings\JO.IO\Local Settings\Temp\loader.exe >>>>> Trojan-Downloader.Win32.Mutant.ate  успешно удален
C:\Documents and Settings\JO.IO\svchosts.exe >>>>> Trojan.Win32.Agent.gmh  успешно удален
C:\Documents and Settings\JO.IO\S87ekhV.exe >>>>> Trojan-Dropper.Win32.Mutant.k  успешно удален
...

и так далее...
После перезагрузки тормоза остались и Opera стала вылетать с ошибкой.
Поэтому я решил попросить помощи у Вас!!!

[Bratez]

На время выполнения 1 и 2 отключите интернет и остановите антивирус.

1. Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

2. Сразу же, не перезагружаясь после фикса, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\dllcache\beep.sys','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Winwc62.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winwc62.sys');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\dllcache\beep.sys');
 DeleteFile('C:\Documents and Settings\JO.IO\Local Settings\Temp\Binaries1.zip');
BC_ImportDeletedList;
BC_DeleteSvc('Winwc62');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

3. Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=33742).

4. Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[tequomo]

Карантин отослал согласно правил. Логи правда сделал все, но высылаю те, что нужно.

[Гриша]

Пофиксить

Код:

O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

Жалобы есть?

[tequomo]

Пофиксил. Вроде работает пошустрее. А там посмотрим В любом случае - огромное спасибо!