Заражен контроллер домена + перехваты неизвестными rdp-сессий

Поражен контроллер домена + перехваты неизвестными rdp-сессий при работе на сервере по rdp.
Запущено 2 файла из ненормальных путей (видны во вложении 2015-01-09_1.png) - причем это заражение повторяется уже второй раз.
Когда было в 1ый раз - тоже с помощью AVZ увидел sys-файлы в ядре, проверил и CureIT! и AVPTool, никто из них ничего не нашел, при этом на диске самих тел файлов ТОЖЕ НЕ было, а после перезагрузки и процессы в памяти исчезли.
К сожалению дампы из памяти САМИХ этих 2х ПРОЦЕССОВ - AVZ сделать почему-то не может. Другие, рядом с ними, - делает, а именно ЭТИ 2 - категорически НЕ может!!!
Прошло 2 месяца - и сегодня обнаруживаю, что история повторяется. Требуемые файлы посредством AVZ и HiJackThis собрал, перегрузить не могу - т.к. пропадут процессы.
Снял с помощью Imager_Lite 3.1.1 дамп оперативки в файл - на всякий случай, чтобы в этот раз этих гадов уже не упустить!

Результат проверки карантина:
[url]http://virusinfo.info/virusdetector/report.php?md5=8C9900D3D8E12E989978AB554C918F9A[/url]

Уважаемый(ая) [B]KonorgVarvarG[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[QUOTE]Когда было в 1ый раз - тоже с помощью AVZ увидел sys-файлы в ядре[/QUOTE]
Эти драйвера от DrWeb CureIT.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]