Nov backdoor/trojanec/črv/bot/karkoli že???

Čez vikend se nam je na par računalnikih zaredila golazen. Dvorni izvajalec DDD Symantec AV corporate je zatajil na celi črti. Očistili ročno, ključno vprašanje pa je, kako se stvar širi in čez katero luknjo pride not. Da ne bo čez en teden spet , glede na to da AV ne najde. Morda kdo pozna podrobneje?

Zadeva v system in system32 direktorija namesti par odvečnih skritih fajlov.
V registry v Run ali RunOnce ni sumljivih stvari, namesti pa kup dodatnih servisov.

.NET Framework - None - C:\WINNT\system\scvhost.exe (tudi pri ne povsem uspešnih okužbah)
COM+ Component - None - C:\WINNT\system\scvhost.exe
Logical Disk Manager Service - Unknown - C:\WINNT\system32\srvany.exe (s tem programe požene kot servis)
LsServ SSH Daemon - Unknown - C:\WINNT\system\SERVICES.EXE
C:\WINNT\system32\wbem\system\SMSS.EXE (preimenovani ioFTPd ftp demon)
Odpre telnet port 2288

Pozdrav:
---o00o------------------- Welcome To This MiFFstro ---------------o00o---
******************************************
* M 0 0 F S I N F U L L F O R C E *
******************************************
etc.

Trend Micro Housecall je našel SMSS.EXE in ser.exe.
BitDefender ni našel nič.
Kasperski online je med sumljivimi prepoznal:
ser.exe - infected by not-a-virus:RiskWare.Tool.Hideout
service.exe - infected by Backdoor.ServU-based
SMSS.EXE - infected by Backdoor.Win32.FTP.ioFtpd.a
nc.exe - infected by not-a-virus:RiskWare.RemoteAdmin.NetCat