Замаскированный процесс, подозрение на KelnerMod Rootkit

Здравствуйте уважаемые хелперы!

Сегодня обнаружился зловредный процесс (еще дня 2 назад не было)
Симптомы:

1 На некоторых сайтах (например виндоус апдейт) вместо содержимого загружается пустой лист (даже нет записи типа сервер не найден - вообще ничего).
2 Не работает восстановление системы
3 Не пустило в папку Систем Волум Информатион - "отказано в доступе"

Обычная проверка ничего не дала. Но диспечер процессов AVZ показал налицие процесса:

/Device/harddiskVolume1/DOKUME~1/....../Temp/RarSFXO/setup.exe

Про этот setup.exe в графе Маскировка пишется "FU or KernelModRootkit" и AVZ указывает на подмену имени

После перезагрузки AVZ больше его не видит - при стандартной проверке AVZ на последнем этапе в нижней строке окна программы мелькает что то типа : нарушено, заблокировано .. но так быстро что невозможно прочитать. И что то о нарушении ассоциации SCR файлов. Кроме того два дня назад MBAM указал что заражен файл wextract.exe (самоизвлечение cab-файлов) в папке Систем 32. Но после следующего обновления MBAM не обращал на него внимания и я подумала что это ложное срабатывание


В безопасном режиме AVZ пишет:

1.2 Поиск перехватчиков API в Kelner Mod
Ошибка обмена данными с драйвером [00000002]-[1]
1.4 Поискмаскировки процессов
Ошибка обмена данными с драйвером [00000002]-[1]


Помогите пожалуста!!

Добавлю что имею на данный момент

- страница виндоус апдейт все же открылась
- на сайты, которые загружаются в виде пустой страницы можно зайти через анонимайзеры (но не через все)
- некоторые сайты открываются нормально, но если сохранить страничку на жесткий диск, она также может открываться в виде пустого листа (в блокноте открывается)

AVZ ведет себя странно - в нормальном режиме пишет о том что проверка маскировки процессов проведена успешно, а в безопасном режиме пишет:

Ошибка обмена данными с драйвером [00000002]-[1]

Что делать?

В логах чисто, установите SP3+all updates...

Гриша спасибо за внимание

меня очень волнует вопрос - драйвер поиска маскировки процессов может быть поврежден? это нормально когда он пишет о ошибке в безопасном режиме?

сейчас пытаюсь проверить как работает восстановление - создала точку отката, но меня не пускает в папку System Volume information (доступ не разрешен) и размер этой папки 0 байт (теоретически, если там уже есть точка отката, то должен быть размер больше 0). это нормально?

system restore когда нужно не помогает :) советую отключить и пользоваться программой, которая делает полный имидж диска и хранить диск на полочке не помешает :) (например acronis )
драйвера avz в безопасном не работают, так что это нормально на данный момент.