Win2003 R2 Ru-Подозрение на руткит

[teg]

После удаления вирусов (не знаю каких, ловили без меня) Trojan Remover 6.6.9 Build 2525 выдает раза четыре ругательство (в аттаче Trojan Remover 6.6.9 Build 2525.gif) Попытка им лечить приводит к синей смерти с000021a.
В папке ""c:\Documents and Settings\admin_nt\" есть папка "WINDOWS", в которой всякие INI, в том числе от TotalCommnder-а. Что по себе думаю ни есть нормально, раньше бралось и C:\WINDOWS
Постоянно Стоит 4-й нод бизнес едишен, есть каспер 6, ни он ни нод ничего не нашли ни в обычном ни в защищенном режиме.
С мак-адреса сетевухи оутпост постоянно ловит на другом компе
"15:21:21 0.0.0.0 Узел заблокирован на 5 мин. ARP_SCAN"
"08:43:16 Блокировать IN Ethernet 00-30-48-35-8f-96 ff-ff-ff-ff-ff-ff Заблокировано Детектором атак"
Сервак на два ксенона с SATA RAID 1, пытался загрузиться Live CD - BART-PE+KASPERSKY 7, не сложилось-проблемы с загрузкой каких дров CDROM.SYS (дрова на раид при загрузке я подкинул). Работает в основном на текстовые терминалы Джорджии.

[V_Bond]

у вас СЕРВЕР, кто вам сказал что поделки вроде Trojan Remover можно туда ставить ?
он не умеет с ним работать ...
в логах ничего плохого если знаете что это
d:\gs_tnet\gs_agnt.exe
d:\gs_tnet\gs_admin.exe

[teg]

Успокоили. Спасибо.
-----
d:\gs_tnet\gs_agnt.exe
d:\gs_tnet\gs_admin.exe
это и есть терминалы Джорджии(http://www.georgiasoftworks.com), каждый экземпляр gs_agnt.exe -терминал, и gs_admin.exe - это монитр состояния.
-----
Осталось узнать откуда и что это за атаки ловит Оутпост на моем компе с мак адреса сетевухи сервера ...
И как избавиться от папки виндовс в профиле активного пользователя (admin_nt).
-----
Может теоретически руткит быть который хорошо упрятался?