Крутой руткит

Где-то подхватил руткит, долго боролся с ним, но безрезультатно... не знаю что делать...
Avira Antivir в режиме поиска руткитов ругается на HEUR/Modified.Systemfile, на вот эти файлы:
advapi32.dll; alg.exe; csrss.exe; ctfmon.exe; kbdclass.sys; lsass.exe; ntdll.dll; services.exe; smss.exe; spoolsv.exe; svchost.exe; winlogon.exe; ws2_32.dll; wsock32.dll.
Загрузился с LiveCD, обнаружил, что у меня в реестре в разделе "Services" появилась служба gaopdxserv.sys, ссылается на файл "gaopdxmqxtimrnkspyfvmcwmpxvbwerxbfpmkb.sys", причём они (запись в реестре и файл) видны только через LiveCD, а в заражённой системе они не давали себя обнаружить. Грохнул и службу (в реестре) и файл с помощью LiveCD.
Но этого оказалось мало, на вышеуказанные системные файлы он всё равно ругается. CureIT ничего не находит, AVZ тоже. Кроме того, AVZ почему-то не может скопировать эти файлы в карантин.
Попробовал заменить эти файлы "здоровыми" (не заражёнными) файлами со второй ОС - не помогло, он кроме них сидит где-то в другом месте, и даже если я их заменяю здоровыми - заражает снова. Один раз была попытка прописать троянский DNS, я его убрал. Перехвата функций руткитом после удаления файла с длинным именем не замечено. Ещё бывает, когда я набираю текст на клавиатуре, вдруг выплывает текст "test", причём многократно повторяется... На жёстком диске никаких autorun.inf у меня нет, да и если бы были - всё равно автозапуск отключен. Помогите пожалуйста. Если надо, могу приложить зараженные файлы.

Слово: test это от AVZ. AVZPM надо установить и после перезагрузки сделать новые логи.

AVZPM установил.
Логи AVZ во вложении.

У Вас сборка Винды не родная, поэтому Avira может ругаться на системные файлы.

[QUOTE=PavelA;376233]У Вас сборка Винды не родная, поэтому Avira может ругаться на системные файлы.[/QUOTE]
На другом разделе такая же сборка, такой же Antivir с такими же настройками. И не ругается. Со второго раздела я скопировал не заражённые файлы в отдельную папку, программа для сравнения файлов пишет, что файлы в этой папке не отличаются от тех, которые в заражённой системе. :?

Может ли что-то модифицировать эти файлы в памяти, а не на диске?

По адресу Services\Tcpip\Parameters в параметре Nameserver руткит снова попытался прописать вот эти IP:
85.255.112.71
85.255.112.105

Ещё в реестре обнаружил кой-чего, см. приложенный файл.

выложите лог Gmer

Лог во вложении.

ничего подозрительно. видны эмуляторы (даемон, алкоголь).
[QUOTE]Загрузился с LiveCD, обнаружил, что у меня в реестре в разделе "Services" появилась служба gaopdxserv.sys, ссылается на файл "gaopdxmqxtimrnkspyfvmcwmpxvbwerxbfpmkb.sys", причём они (запись в реестре и файл) видны только через LiveCD, а в заражённой системе они не давали себя обнаружить. Грохнул и службу (в реестре) и файл с помощью LiveCD.[/QUOTE]
там еще dll должна быть с теми же именами.
Видимо сам руткит вы убили.
попробуйте sfc /scannow

[B]Alex_Goodwin[/B]
[I]Видимо сам руткит вы убили.[/I]
Но содержимое ветки реестра, приведённое в файле viruskey.txt, восстанавливается. И троянский DNS - тоже прописывается заново.

[Ошибочка, dwshield.log - это от DrWeb'a, подозрения не подтвердились.]

Сейчас с ДНС есть проблемы?

Почитал про руткит, который сидит в MBR:
[url]http://www.interface.ru/home.asp?artId=8703[/url]
[URL="http://www2.gmer.net/mbr/"]http://www2.gmer.net/mbr/[/URL]
Вышел в консоль восстановления, грохнул руткит FIXMBR'ом (который меня предупредил о том, что у меня недопустимая или нестандартная загр. запись) вот и всё. :094: Avira теперь пишет, что всё в порядке, руткитов, вирусов и модифицированных файлов нет. :) Остальные тоже молчат.