rootkit или avz борется с symantec?

все компы win xp prof sp3 + symantec corporate 10.
на файловом сервере для 1с было замечено (netstat -b) постоянное подключение к vilknew.com при этом использовались библиотеки ws2_32.dll wininet.dll. пока день искал заразу, срубился рабочий стол (не запускался explorer). запуск шел только ручками, причем не разрешался переход между пользователями - пароль у второго принимал, но тут же срубал. скачал avz. прогнал на полной эвристике. он обнаружил две трудности: подозрение на rootkit и p2p заразу. p2p снес из под avz с эвристическим восстановлением + применил из под него же восстановление настроек explorer . хотя в реестре все было в норме... во всех ветках. а вот с руткитом пытаюсь бороться четвертый день. причем после подозрения avz через 5 секунд срабатывает автоматическая защита symantec с воплем: нашел трояна в c:\windows\system32\drivers\utg4njgy.sys 3 штуки, требует перезагрузки и 2 штуки пихает в свой карантин. решил отослать все к Вам, и только при выполнении инструкций, понял что при выключенной защите symantec никаких руткитов avz не видит....
так что у меня?

[QUOTE=oldgod;393262]нашел трояна в c:\windows\system32\drivers\utg4njgy.sys 3 штуки[/QUOTE]Это драйвер АВЗ.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.

очистку сделал, а вот на это (virusinfo_syscure.htm) не обращать внимания?
Файл Описание Тип
C:\WINDOWS\system32\drivers\Haspnt.sys
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение на RootKit >>> Перехватчик KernelMode - ЦП[1].IDT[06]
C:\Documents and Settings\Admin\Application Data\rambler.ru\toolbar\mail.mp3
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение эвристического анализа PE файл с нестандартным расширением(степень опасности 5%)
C:\WINDOWS\system32\Attansic\L1\atcInst.exe
Скрипт: Kарантин, Удалить, Удалить через BC Подозрение файлового сканера Подозрение на P2P-Worm.Win32.Nugg.an ( 00574032 08CD5FC5 001B19C0 0020414D 188416)

[QUOTE=oldgod;393507]на это (virusinfo_syscure.htm) не обращать внимания?
[/QUOTE]
[url]http://www.greatis.com/appdata/a/h/haspnt.sys.htm[/url]
[url]http://www.download3k.com/Antivirus-Report-Advanced-Time-Control.html[/url]

[QUOTE=Rene-gad;393588][url]http://www.download3k.com/Antivirus-Report-Advanced-Time-Control.html[/url][/QUOTE]
[I]C:\WINDOWS\system32\Attansic\L1\atcInst.exe[/I] - это не инсталлятор программы [I]Advanced Time Control[/I], а, вероятнее всего, какая-то компонента, связанная с сетевой картой или к.-л. оборудованием производства компании [I]Atheros[/I], смотрите тут: [URL="http://www.attansic.com"]http://www.attansic.com[/URL].

пасибо всем. сегодня хоть посплю спокойно... если возможно, ответь еще на один вопрос ( я начал лечиться сам, поэтому понимаю что нарушил неумышленно правила форума, и только позже нашел вас): avz удалил из с\windows\system 32 twex.exe
, лечил с эвристическим восстановлением, но сейчас в реестре вижу:
hklm\ software\ microsoft\ windows nt\ current version\ winlogon
userinit значение c:\windows\system 32\userinit.exe, c:\windows\system32\twex.exe
насколько я понимаю , то что после запятой надо удалить...
и еще twex.exe находится в c\windows\prefetch с именем: twex.exe-154B356D.pf
какие мои действия?

еще раз прошу извинений за неумышленное нарушение правил...
если нет возможности ответить про twex, то скажите об этом.
заранее спасибо

[QUOTE=oldgod;393950]еще раз прошу извинений за неумышленное нарушение правил...
если нет возможности ответить про twex, то скажите об этом.
заранее спасибо[/QUOTE]
\windows\prefetch - Это базы данных, ничего исполняемого там нет. Ключ реестра должен иметь вид "c:\windows\system32\userinit.exe,"
В остальном если есть подозрения по файлам, то лучше "скормить" карантин "киберу" - [URL]http://virusinfo.info/showthread.php?t=3519[/URL] - все это классифицируется и обработается