Руткит видно только по активности

Вчера, в 15:00 по гмт +2 подцепили в офисе малварь на машинку с нодом 2.7 с сайта ukr.net.
Зараза имитировала работу нового антивируса, показывала фейковый букет малвари, которую она нашла и предлагала удалить. Завершением процессов она ушла. Тут же, без ребута был заинстален смарт секьюрити 4, обновлен и прошла проверочка. После ребута все вроди чисто и опрятно, кроме стремных записей в авторане в реестре, что любезно давал смотреть AVZ. Пробовал удалять - они опять появляются. ComboFix вроди как исправил эту траблу частично. Далее на центральном мониторе появились варнинги, что писали, будто кто-то из запущеных процессов пытается ломиться на левые сайты. Хттп фильтр нода позволял блокировать эти запросы. Сайт, на которые ломился руткит:
[code]
Фильтр HTTP файл http://www.bowlingbar.ch/c4.exe Win32/Kolab.NAC червь обнаружена угроза: C:\WINDOWS\system32\svchost.exe.
[/code]
и аналог на файл c5.exe
Сам нод находит и убивает c*.exe в случаях, когда он уже есть на машине, но руткит остается внутри.
Нетривиальность состоит в том, что ботоводы меняют загружаемую малварь очень активно, а руткит остается незамеченым.
Правила прочитал, приложил необходимые логи АВЗ и хайджек.

а теперь посмотрел на соседние темы. у нас стряслось нечто вроди
[url]http://virusinfo.info/showthread.php?t=52486[/url]
но автор той темы поздно отпостил. к тому времени мы уже ехали домой с работы. Возможно, он скачал новую версию псевдоантивируса, а мы уже заблокировали подозрительные ресурсы на уровне ipfw.
Соль в том, что описываемые им траблы были и у нас, но фишку с фейком антивируса уже порешили. нод просто не дает ему развернуться. Но руткит остался и он очень любит "патчить" свхостик, либо запускать его со своей библиотекой.
ЗЫ
вопрос на форуме эсета задал, но их форум, наверняка, под ддосом.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\DOCUME~1\Admin\LOCALS~1\temp\RarSFX0\6b8z7.exe');
QuarantineFile('G:\autorun.inf','');
DeleteFile('c:\DOCUME~1\Admin\LOCALS~1\temp\RarSFX0\6b8z7.exe');
DeleteFileMask('c:\DOCUME~1\Admin\LOCALS~1\temp','*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Удалите [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL].
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

Gmer все ещё прогоняет тест, но вот логи Hijack и AVZ
Карантин не создался.