Похоже на новый вирус

Здравствуйте.
Я скачал из eMule несколько файлов. После распаковки и запуска одного или 2-х из них, сейчас точно не помню, в системе стал появляться процесс hldrrr.exe в 2-х экземплярах, который без труда убивался Process Explorer'ом. Проверка этого файла на VirusTotal.com показала, что DrWeb обнаруживает этот файл как Win32.HLLM.Beagle. AVZ показывал наличие UserMode руткита, который [B]не[/B] изчез после удаления hldrrr.exe. Кроме того, Outpost Firewall начал постоянно сообщать об изменении библиотек в Windows\System32, хотя никакого нового ПО и обновлений не устанавливалось. Далее, при выполнении стандартного скрипта "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" обнаружилось, что на пункте "5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)" появляется сообщение от Outpost Firewall о том, что некий <process:138465> (номер часто менялся) пытается изменить память процесса AVZ.EXE (нажимаю "Блокировать однократно"), затем сообщение что аналогичный процесс пытается посылать нажатия клавиш в окно AVZ.EXE ("Блокировать однократно"), затем еще одно-два сообщения в том же духе, после чего окно AVZ приобретает несколько поврежденный вид: окно со списком стандартных скриптов пусто, пуст список дисков, доступных для проверки. Process Explorer показывает почти нулевую загрузку ЦП, обращений к диску нет, и в таком состоянии AVZ находится минуты 2-3, после чего очухивается и доводит до конца выполнение скрипта.
Последний на вчерашний день DrWeb CureIt! ничего не находит, даже если загрузиться с LiveCd и запускать из-под него.
ОС Windows 2003 Server.

Я тоже ничего не нахожу... глаза разбегаются.

Наверное, при поиске кейлоггеров не надо ничего в Outpost блокировать. Это AVZ их так провоцирует.

А как быть с UserMode руткитом? Можно как-то определить, какое приложение его поставило?

Знатоки, пожалуйста подскажите, как определить, кто ставит UserMode руткит! Посоветуйте какие-нибудь методики, чем и куда залезть и посмотреть. Буду вам очень благодарен!

Outpost много чего именно в User Mode перехватывает. Это у него контроль компонентов, как я понимаю.

Но почему-то он этого не делал до описанных проблем, хотя AVZ-ом я проверяюсь регулярно и Outpost стоит уже несколько месяцев.
Я сделал поиск по APICodeHijack и предположил, что это остатки снесенного во время борьбы с тем вирусом Касперского, ан нет, все советы по окончательному удалению выполнил, а результат тот же.