Как поймать модифицированный Win32/Genetik?

Краткое описание проблемы:
- прогоны нодом и CureIt ничего не дают (в безопасном режиме и при подключении винта к чистой машине).
- при прогоне AVZ - говорит, что есть перехват функций (перехватчики C:\WINDOWS\system32\ntoskrnl.exe - этого не должно быть и нод - это нормально)
- при попытке запуска uVS, нод находит модифицированный Win32/Genetik в файле создаваемом uVS и соответственно программа блокируется и не запускается. Если нод отключаю, то uVS запускается, но ничего нового не показывает.

Что еще можно посмотреть?

Уважаемый(ая) [B]lints[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

В HiJackThis пофиксите:

[code]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
[/code]

Сделайте лог полного сканирования [b][url=http://virusinfo.info/showthread.php?t=53070]MBAM[/url][/b]

Вот лог MBAM

Удалите в mbam

[CODE]Зараженные файлы:
c:\WINDOWS\system32\dp1.fne (Worm.Autorun) -> No action taken.
c:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\krnln.fnr (Worm.Autorun) -> No action taken.
c:\WINDOWS\system32\internet.fne (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\com.run (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\RegEx.fne (Worm.Autorun) -> No action taken.
c:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\og.dll (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\og.edt (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> No action taken.
[/CODE]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните в AVZ скрипт[/url] из файла [URL=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/URL] откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

Уязвимости в AVZ убрал. Обновления поставил.
В МВАВ удалил.
Перехватчик остался. На uVS при запуске попрежнему ругается НОД.

Логи в приложении. Что можно еще посмотреть?

Чисто в логах. Что разработчики засунули в uVS и как реагирует на это НОД мне не ведомо :) Скорее всего элементарный фолс нода.