Ловим спамбота

Ситуация - на машине поселились штук 8 разных червей и троянов. C него началась рассылка спама.
Загрузились с KAV 6.0 beta CD, пролечили. Вроде как чисто.... Но остались подозрения.
На машину поставили KAV WS 5.0.712, ничего не нашёл. Но я засёк попытки соединения на 69.50.177.122 TCP port 33022. Пробил IP по спам базам -
[url]http://www.dnsstuff.com/tools/ip4r.ch?ip=69.50.177.122[/url]
Результат:
[QUOTE]TXT= "Escalated Listing (Spam or Spam Support) See: http://www.sorbs.net/lookup.shtml?69.50.177.122"
Reports CNAME of atrivo.com.spam-support.blackholes.five-ten-sg.com.
TXT= "added 2005-09-07; refusal to remove esthost"[/QUOTE]
25 порт я ему прикрыл напрочь, но Касперский помигивал в трее значком проверки почты, хотя в отчёте ни одного проверенного письма. Как я понимаю это были попытки соединения.
Поставил KAV WS beta 6, антихакер поймал соединение - svchost.exe на 25 порт упорно хочет что-то послать.
То есть бот подсел на этот процесс.
Давайте выловим эту сволочь! Как отследить что в системе сидит?
Подозревал ert.dll, удалил из загрузки - не помогло.
Сейчас проверю ещё RootKitRevealer. Логи чуть позже от всего выложу.
Вот логи. Процессы, строки найденные в процессе svchost, ещё кое что.

Пожалуйста прочтите [URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL]

Прочёл. Просто скрипты требуют много времени на выполнение. Так что пока только предварительные логи
А вот и логи:

ert.dll - модификация Trojan-Proxy.Win32.Small.ct
Но ещё что-то есть. Этого уже убил через AVZ - удаление файла

пофиксите с помощью HijackThis следующие строки:
O21 - SSODL: IEFilter - {7B07A302-8D98-4080-A9A4-70EA6228EE46} - (no file)

пришлите на проверку файлы по правилам форума:
C:\WINDOWS\SYSTEM32\psqlpwd.dll
C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll

Не получится, компьютер был нужен срочно. Так что всё вылечилось командой format c: