если есть возможность работы из под Live.CD (WinPe&uVS), то выполните следующую процедуру поиска:
1. в активной (предположительно зараженной системе) создайте файл сверки автозапуска, в режиме uVS - руткиты - создать файл сверки (1-2мин)
сохраните на флэшку, или в каталог на жестком диске.
2. загрузитесь с Live CD и выполните запуск uVS (например с флэшки), см здесь http://forum.esetnod32.ru/forum6/topic2102/ выберите в окне start.exe вашу систему с каталога жесткого диска загрузите uVS и выполните функцию "поиск скрытых и измененных объектов по файлу сверки.
3. после завершения этого действия сохраните (новый) полный образ автозапуска, и добавьте его на форум.