Руткиты, похоже, одолели

[DrMOM]

Здравствуйте. У меня Vistax86. Стоял Panda антивирус. AVZ показал маскировку PID. Просканил Пандой - вирусов нет. Улалил Панду - поставил Антивирус Касперского 2009, обновил, просканил - ничего. Скачал 3 разных антирукита или виснут или не работают. Пробовал AVP Remove Tool - тоже ничего. Помогите пожалуйста избавиться от нечисти! Заранее спасибо.

 

Еще какие-то два странных файла в system32 доступ к которым запрещен - см. скриншот

 

Вот ссылка на GetSystemInfo

http://gsi.kaspersky.fr/read.php?file=2dde...b4faf145cb20a6f

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

GetSystemInfo_DNAPC_DNA_User_2009_03_28_14_24_32.zip

Gmer.log

Изменено 28 марта, 2009 пользователем DrMOM

[starik]

C:\Windows\System32\Drivers\dump_dumpfve.sys

C:\Windows\System32\Drivers\sphu.sys

 

В том, что это руткит - сомнений нет, но где же хуки, инлайны и т.п.

[DrMOM]

C:\Windows\System32\Drivers\dump_dumpfve.sys

C:\Windows\System32\Drivers\sphu.sys

 

C:\Windows\System32\Drivers\sphu.sys - такого файла в директории нет

 

C:\Windows\System32\Drivers\dump_dumpfve.sys - такого тоже нет, есть просто dumpfve.sys

 

Что делать?

[Steker]

Пробовали AVZ сканировать?

[iradov]

DrMOM

Руткитов не антивирусами ловить нужно, а другим софтом. Например Ad-aware

Ссылки на варез по понятным причинам здесь не предлагаю.

[starik]

iradov, программа которую вы дали - она кроме куков нечего не ловит.

Сделайте логи с помощью gmer

[iradov]

starik

В качестве инструментария Ad-Aware сравнивать с поделкой польских студентов смешно - все равно что бошевский перфоратор сравнивать со штопором.

К твоему сведению, среди антирукитов он болтается на предпоследнем месте, хотя в весовой категории антивирусов могущих побороть руткитину он на ровне с КАВ7, что уже свидетельствует о многом

[DrMOM]

AVZ конечно сканировал - ничего (кроме маскировки пидов). Gmer пробовал еще вчера - первое сканирование доходит до определеного места (в логе последння строчка) и вылетает в систему с ошибкой. При попытке запустить Gmer второй раз вылетает голубой экран смерти. Поставил еще AVG Anti-Rootkit Free - так он вообще при нажатии на иконку мышкой ноль эмоций. Ad-aware еще не пробовал сейчас постараюсь.

Gmer.log

[Steker]

Ad-aware Бесполезно, даже не пробуйте. По повотду Маскировки PID-если показывает оригинальный то просто снимите Дамп и смотрите что пытается замаскироваться.

[ТроПа]

C:\Windows\System32\Drivers\sphu.sys

 

Да очень страшный руткит

 

Alcohol 120 - вот кто наплодал этого руткита.

 

C:\Windows\System32\Drivers\dump_dumpfve.sys

 

Этот ещё страшнее, а как же, всё таки часть системы.

 

Просьба ко всем, если не уверены, что какой-то файл зловреден не нужно об этом безапелляционно заявлять.

[sergio342]

Еще какие-то два странных файла в system32 доступ к которым запрещен - см. скриншот

Это что-то с активацией Windows связано. Если их удалить, она слетит.

AVZ показал маскировку PID.

Специалисты точней объяснят, но в Висте АВЗ не всегда корректно работает.

Gmer пробовал еще вчера - первое сканирование доходит до определеного места (в логе последння строчка) и вылетает в систему с ошибкой. При попытке запустить Gmer второй раз вылетает голубой экран смерти.

GMER тоже иногда может глючить в Висте. Изменено 28 марта, 2009 пользователем sergio342

[starik]

Просьба ко всем, если не уверены, что какой-то файл зловреден не нужно об этом безапелляционно заявлять.

Вы увидили в моём посте хотя бы слово о том что эти файлы вредоносны?

[DrMOM]

Ad-aware Бесполезно, даже не пробуйте. По повотду Маскировки PID-если показывает оригинальный то просто снимите Дамп и смотрите что пытается замаскироваться.

Да вы правы он не помог.

[starik]

Gmer нечего особого не показал.

Есть конечно вариант Rootkit UnHooker, лог выложите.

[Steker]

Вот посмотрите

А вообще антируткитов много (как коммерческих так и бесплатных) но с зараженной системы они практически бесполезны. Больше шаснов найти Руткит с LiveCD или другого харда(хотя ваши файлы могут быль драйверами которые устонавливают некоторые приложения)