есть руткит... уверен, но...

[thefox]

почти на 100% уверен, что вчера перехватил где-то засаду, хотя штатно работал Dr.Web SS...
в основном это отражалось на загруженность интернет-канала, были непонятки и hosts.
ни cureit ни avptools ничего не нашли...
все логи приложил, никак не могу вычислить гада, часть вызывающих подозрения драйверов проверял на вирустотате - все чисто, часть, никакими утилитами не могу "выдрать", только дампы...
подскажите, куда копать...

[Kuzz]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('USBAAPL');
 QuarantineFile('C:\WINDOWS\system32\Drivers\usbaapl.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\SkyNET.SYS','');
 DeleteService('is-33HT2drv');
 QuarantineFile('is-33HT2drv.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\54401169.sys','');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\54401169.sys');
 DeleteFile('is-33HT2drv.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\usbaapl.sys');
 ExecuteRepair(9);
 SetAVZPMStatus(true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

2.Скачать эту версию AVZ

3.Повторить логи скачанной версией

[thefox]

Kuzz, я тут слегка ослушался, но в целом выполнил... толку не шибко...

skynet.sys - драйвер от dvb-карты для спутниковой тарелки, он 100% чист;
tcpip.sys - это просто патченный tcp/ip для торрента, поэтому crc не прошел;
54401169.sys - это от avp-tool подарок, после ребута самоудалился...

итого, в карантин выпали первых два "тела", оба невинны...

[thefox]

up...
тоже нету ни у кого идей, как с "этим" бороться?

[V_Bond]

есть руткит... уверен

почему вы так решили ?

[thefox]

Код:

\FileSystem\ntfs[IRP_MJ_CREATE] = 8A5C61E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A5C61E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A5C61E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A5C61E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A5C61E8 -> перехватчик не определен
etc...

+

Код:

Опасно - отладчик процесса "avp.exe" = "ntsd -d"
Опасно - отладчик процесса "avp32.exe" = "ntsd -d"
Опасно - отладчик процесса "avtask.exe" = "ntsd -d"
etc...

достаточно для более чем обоснованных подозрений... к тому же, еще пару недель назад все было чисто, а никакого нового ПО я не ставил...

[V_Bond]

- первое эмулятор дисков ...
- второго в логах нет ...

[Kuzz]

Код:

\FileSystem\ntfs[IRP_MJ_CREATE] = 8A5C61E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A5C61E8 -> перехватчик не определен

etc...

Вашему антивирусу надо же как-то файлы проверять?

Код:

Опасно - отладчик процесса "avp.exe" = "ntsd -d"
Опасно - отладчик процесса "avp32.exe" = "ntsd -d"
Опасно - отладчик процесса "avtask.exe" = "ntsd -d"
etc...

Было "зачищено" скриптом

а никакого нового ПО я не ставил...

Это следы заражения, которое доктор убрал, но не все "хвосты" почистил