подозрение на непалящийся руткит

Система с недавних пор несколько странно себя ведёт: иногда не запускается редактор реестра (через AVZGuard - нормально), не запускается Dr.Web CureIt, морда Agnitum Outpost (процесс op_mon.exe) не стартует после установки, хотя правила работают.
Больше всего подозрений вызывают данные "хвосты":
[CODE]Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[100C3432]
Детектирована модификация IAT: LoadLibraryA - 6603EE88<>7C801D7B
Функция ws2_32.dll:WSARecv (71) перехвачена, метод APICodeHijack.JmpTo[100C2436]
Функция ws2_32.dll:WSASend (76) перехвачена, метод APICodeHijack.JmpTo[100C332E]
Функция ws2_32.dll:connect (4) перехвачена, метод APICodeHijack.JmpTo[100C337A]
Функция ws2_32.dll:recv (16) перехвачена, метод APICodeHijack.JmpTo[100C23BA]
Функция ws2_32.dll:send (19) перехвачена, метод APICodeHijack.JmpTo[100C2BEE][/CODE]
Активизация расширенного драйвера мониторинга добавила это:
[code]1.4 Поиск маскировки процессов и драйверов
>> Маскировка драйвера: Base=B8D2E000, размер=81920, имя = "\SystemRoot\System32\Drivers\Parport.SYS"
Поиск маскировки процессов и драйверов завершен
Драйвер успешно загружен[/code]
На вид parport.sys оказался вполне легальным драйвером.

Проверка свежими KAV7, Dr.Web 5.0, Dr.Web с LiveCD ничего даёт. В безопасном режиме данных хуков не наблюдается.

В этом логе ничего подозрительного не видно.
Перехваты не свидетельствуют о наличии заразы.

Для получения более полной картины нужно проделать следующее:
1. Временно деинсталлировать Аутпост или полностью его отключить.
2. В AVZ установить драйвер расширенного мониторинга (AVZPM) и перезагрузиться.
3. Сделать полный комплект логов, как описано в разделе "Диагностика" правил.

До установки Outpost'а был Comodo Firewall Pro, там наблюдались все те же левые хуки (ws2_32 + CreateProcessW). Результаты расширенного мониторинга уже описал, отличается только жалобой на parport.sys. Но что совсем странно - на компе нет параллельного порта (ноутбук). Да и не похоже, чтобы настоящий драйвер вёл себя подобным образом (проверял на другой аналогичной системе с parport.sys).
Из списка служб пропали "Сервер" и "Рабочая станция".
Логов уже тьма различных, но все указывают по сути на одно и то же. Однако, ни AVZ, ни GMER не в состоянии указать на конкретный процесс или компонент, которому принадлежит подозрительное адресное пространство. Пока что предполагаю, что это explorer.exe или svchost.exe.
Скрипт поиска руткитов AVZ снимает хуки, но после ребута всё сново налицо.