Rootkit.Win32.Pakas.n и иже с ними

Ситуация следующая. Подцепил видимо FF (Во время заражения был 2, но он был снесён и поставлен 3). Затем было несколько различных симптомов, такие как:

[LIST][*]странная активность на svchost (скан открытых портов по различным адресам),[*]украденные пароли от CuteFTP (с последующим появлением на сайтах инородных вкраплений iframe) и ICQ (с невозможностью восстановления)[*]Файл bvnbeesic.sys, содержащий этот самый Rootkit.Win32.Pakas.n и располагающийся в каталоге system32/drivers/. Ещё вчера утром его не мог определить ни каспер, ни дрвеб (сегодня может, ибо вчера был туда заслан)[*]отлавливаемые каспером вирусы при попытке загрузки FireFox.[/LIST]
В общем работа встала. Помогите.

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
QuarantineFile('fusstub.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\HH9Help.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\symlcbrd.sys','');
BC_DeleteSvc('SysSch');
QuarantineFile('C:\WINDOWS\Offline Web Pages\svchost.exe','');
DeleteFile('C:\WINDOWS\Offline Web Pages\svchost.exe');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color] верху этой темы.

Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

Установите Adobe Acrobat Reader 9.0 или удалите старый.
Антивирус Касперского 6.0 для Windows Workstations уже не поддерживается:
[url]http://www.kaspersky.ru/support/kav6mp2/tech?qid=208636053[/url]
Установите новую версию.

Акробат удалил
Карантин прислал
С каспера пока уйти не могу - нужно одобрение со стороны IT-начальника. Но вопрос уже задал.
Лог прилагаю

KAV WKS поддерживается по сей день, прекратилась поддержка персональных продуктов 6 версии...

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('obmcardge');
QuarantineFile('C:\WINDOWS\system32\drivers\bvnbeesic.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\bvnbeesic.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('obmcardge');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...

Выполнил скрипт. После перезагрузки возик Active Desktop Recovery (никогда не пользовался Active Desktop).
Появилось сообщение:
В заголовке: taskmgr.exe - Неверный образ
В тексте: Приложение или библиотека с C:/Wybdows/system32/iphlpapi.dll не является образом программы для WindowsNT. Проверьте назначение установочного диска.
Карантин выслал. Логи прилагаю.

В логах чисто...

Здорово конечно, но от этого варнинги не перестали лезть. Мало того, теперь не только эта dll, но и одна из dll от касперского и pshook.dll от пунто свитчера. С этим-то что делать?

Это легитимные файлы, опасности они не представляют, если хотите можете еще выполнить полную проверку CureIT...

Пришлите пару таких dll по Правилам.

Закнул в zip-архив и залил все dll, которые вызывали ошибку. + закинул туда taskmanager. Он у меня в автозапуске дабы отслеживать загрузку проца ну и всё такое. В нём-то и возникают ошибки.

Добавка: CureIt только закончил. Ничего не нашёл.

Присланные taskmgr.exe и iphlpapi.dll идентичны оригинальным.
Ошибка всегда появляется или время от времени?

Ситуация следующая:
У меня в автозагрузке стоит этот самый таск-манагер (естественно ссылка на него). При его загрузке возникает ошибка. При этом, как ни странно, в обычной загрузке таскманагера (по Ctrl+Alt+Del) ошибки не появляется. Странно....

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\mssrv32.exe - [B]not-a-virus:AdWare.Win32.Virtumonde.amdp[/B] (DrWEB: DDoS.Kardraw)[/LIST][/LIST]