Для удаления неизвестного антивирусам руткита необходимо иметь под рукой:
 o Загрузочный WinPE (рекомендуется 2.x или 3.0 на базе NT 6.1 для машин с >=512mb RAM)
   Для машин с объемом памяти меньше 512 придется использовать PE 1.x или в любом случае можно снять
   винт и подключить к машине с чистым Windows.

 o uVS на флешке/диске. 
   (!) Для сверки используйте одинаковые версии uVS на обоих этапах!

 o Чистый дистрибутив Windows соотв. версии с интегрированным SP идентичной версии.

1. Бутовые руткиты (буткиты) особо рассматривать не будем, они легко убиваются из под WinPE
   с помощью стандартной утилиты bootsec.exe, которую можно взять в дистрибутиве Windows.
   Пример использования:
   bootsec.exe /NT52 C: /force /mbr (для XP)
   bootsec.exe /NT60 C: /force /mbr (для Vista/Seven)
   где C: есть имя диска с ntldr/bootmgr
   (!) Если вы используете пиратскую версию Windows Vista и старше то п.н. перезапись загрузчика
   (!) приведет к потере активации.
   (!) MBR может быть повторно инфицирован если в автозагрузке останется зловред заразивший его.
   Кроме того можно просто записать сохраненный MBR в нулевой сектор. (не имеет побочных эффектов)
   (uVS предлагает сохранить оба MBR при проведении сверки в виде файлов)
   (!) Для зараженных загрузочных секторов все аналогично. (для bootsec.exe не требуется ключ /mbr).

2. Файловые руткиты.
   uVS не предназначен для уничтожения руткитов в активной системе, ибо сама по себе идея борьбы
   с руткитом порочна. Зачем пытаться прошибить защиту и подвергать систему опасности деструктивного
   ответа неизвестного руткита, если удалить его можно очень быстро без малейшего риска? :)

   Далее краткое описание процесса:
   1. Загружаемся в зараженную систему, запускаем uVS, удаляем автораны, трояны, адварей и прочий 
      мелкий хлам.

   2. После зачистки делаем файл сверки (меню "Руткиты")
      (!) После получения файла сверки рекомендуется немедленно перезагрузить
      (!) компьютер и приступить к сверке.

   3. Загружаемся в WinPE.
      Если uVS на отдельной флешке _и_ WinPE младших версий, то флешку нужно вставить перед загрузкой,
      (для WinPE 3.0 это не важно)

   4. Запускаем uVS выбрав каталог зараженной системы. 
      (uVS лучше запускать из отдельного каталога на винте, соотв. сделайте копию, не стоит 
       запускать uVS прямо с флешки)

   5. Загружаем каталог цифровых подписей неактивной системы (меню "Цифровые подписи")
      (процесс займет пару минут, загрузка каталога в WinPE 1.x невозможна, только в v2.x и старше)

   6. С помощью меню "Руткиты" проводим сверку автозапуска
      Если в процессе был обнаружен скрытый автозапуск или мод. файлы, то вносим сигнатуры 
      соотв. файлов в базу. Затем проводим проверку всего списка, все найденные копии руткита(ов)
      получают статус вируса и их можно удалить кнопкой "Убить все вирусы". Зачистка завершена.
      (стоит следить за длиной сигнатуры, не стоит делать ее слишком короткой, это снижает надежность
       определения зловреда, при сомнении на счет конкретного файла проверяйте его цифровую подпись)
      (!) Не удаляйте руткит без занесения его сигнатуры в базу, в системе может быть несколько
      (!) копий тела руткита под разными именами.

   7. Переходим к проверке системных файлов на модификацию.
      Сперва нажимаем F4 для отсева проверенных файлов (база sha1 должна быть в каталоге uVS)
      затем F6 для отсева подписанных файлов.
      После окончания процесса в списке подозрительных появятся все мод. EXE/SYS их рекомендуется
      отправить на virustotal.com для идентификации, для гарантии все эти файлы можно просто заменить
      на чистые копии из дистрибутива Windows.

   8. Скрываем известные и проверенные (F1) и листаем категории на предмет чего-то подозрительного.
      (не_обязательно, но_полезно)

   9. Открываем категорию "Отсутствующие объекты" и проверяем нет ли там известных отсутствующих
      файлов.
      Например: руткиты любят заражать ATAPI.SYS, BEEP.SYS, SERVICES.EXE и т.п. все убитые зараженные
      системные файлы нужно вернуть на место восстановив чистую копию файла из дистрибутива.
      Дополнительно в этой категории рекомендуется удалить оставшиеся хвосты от вирусов и неправильно
      удаленного софта соотв. командой в контекстном меню.
   
  10. Проверка всего системного диска, возможно по сигнатурам будут найдены копии руткитов или
      вирусов не найденные в автозапуске. (кнопка "Проверить каталог")

  11. Можно загружать систему, но рекомендуется отключить автоперезагрузку по BSOD-у
      (меню "Дополнительно") возможны вы забыли восстановить один из системных файлов. :)
      (!) После/до загрузки рекомендуется выполнить полную проверку всех дисков на ошибки.