Подозрение на бут-руткит

[myp3ujlo4huk]

Привет! Это снова я!
Не раз обращался за помощью - всегда помогали - спасибо!
Сначала проверил Cureit и Combofix - результат - его просто нет.
Потом в ход пошел Haxfix и gmer.
Искал в гугле по строчке \FileSystem\ntfs[IRP_MJ_CREATE] очень мало информации.
Вобщем, пожалуйста логи.
Пожалуйста помогите!

[V_Bond]

в планировщике ваше задание ?
лог gmer приложите ...
и попробуйте демона удалить ... бывает он так шалит ...

[myp3ujlo4huk]

в планировщике ваше задание ?
на чем основаны подозрения насчет бут-руткита ?

Задание мое.
Подозрения основаны на строчках вида
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86F6B1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 86F6B1F8 -> перехватчик не определен

или это nod32 ?

[V_Bond]

и попробуйте демона удалить ... бывает он так шалит ...

...

[myp3ujlo4huk]

...

Я его специально снес перед снятием логов и перезагрузил комп.
Сейчас снесу нод на всякий случай.
Не могу прикрепить лог.
Извините он вроде короткий.
GMER 1.0.14.14205 - http://www.gmer.net
Rootkit scan 2008-04-13 22:21:10
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT sprb.sys ZwEnumerateKey [0xF737CCA2]
SSDT sprb.sys ZwEnumerateValueKey [0xF737D030]

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 86F6B1F8

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys

---- EOF - GMER 1.0.14 ----
Делаю полный лог сейчас приложу.

[kps]

Запустите Gmer. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

[V_Bond]

Код:

Сейчас снесу нод на всякий случай.

нод этого делать не умеет ... пострадает невинно ... Daemon tools лучше деинсталируйте ...

[myp3ujlo4huk]

Пожалуйста лог gmer.
Daemon tools снес задолго до снятия логов.

[kps]

У Вас не буткит, а драйвер Даемон Тулз. Хоть Вы это удалили, а драйвер остался, от него не так просто избавиться.

---- System - GMER 1.0.14 ----

SSDT sprb.sys

sp**.sys это от Даемон Тулз.

[myp3ujlo4huk]

Спасибо! А как его удалить ? Через отложенное удаление можно ?
Вы уж простите что я тут ложную тревогу поднял, это все от того что в интернете ну очень много всего нового появляется.

[kps]

Можно поискать в гугле удаление драйвера Daemon Tools, думаю, там много информации.

[myp3ujlo4huk]

Все удалил через диспетчер служб и драйверов AVZ.
После этого логи стали чистыми.
Еще раз извините за ложную тревогу.