Неизвестный руткит (не могу избавиться)

**[email protected]** · 03.10.2009, 20:07

Руткит, постоянно меняет имя драйвера, физически отсутствует на диске (проверял в Recovery Console при загрузке с CD), видимо динамически загружается чем-то при старте системы. В безопасном режиме драйвер так-же загружается. Разнообразные антивирусы ничего подозрительного не видят. Во всех автостартах (смотрел хайджек и автостартс руссиновича) ничего подозрительного не обнаружил (ну кроме автогенеренного ключа, оставшегося от загрузки драйвера, удалять его смысла никакого, потому что в следующий раз все равно новый создастся

). Единственное, что смог сделать утилитой AVZ - получить дамп памяти с загруженного драйвера. Данный дамп на virustotal.com был идентифицирован сканнером McAfee GW Edition как Trojan.Crypt.XPACK.Gen.
Лог hijackthis прилагаю вместе с зипованным дампом драйвера.

Перехват следующих IRP-запросов AVZ снять не может:
\FileSystem\ntfs[IRP_MJ_CREATE] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = FC4B71E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = FC4B71E8 -> перехватчик не определен

Да, забыл написать как получил подарочек: пришла бухгалтер с флешкой, надо было документ распечатать. Всяческие autorun.inf на текущий момент на винте не наблюдаются ни на одном из разделов.

[Прошу прощения, когда логи будут готовы - выложу. Дамп удалил.]

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Aleksandra** · 03.10.2009, 20:18

Нужны логи, а не дампы. Прочитайте и выполните правила.

**[email protected]** · 03.10.2009, 21:07

Вот логи, требуемые согласно правил.

Подозрительные по мнению AVZ (но абсолютно нормальные) программы:
Daemon Tools - эмулятор CD
MouseImp Live! - прокрутка правой кнопкой мыши
Lingoes - переводчик
winrar.bak - древний хлам.

"неизвестный перехватчик" принадлежит тому драйверу, дамп которого я выкладывал раньше.

**Aleksandra** · 03.10.2009, 21:40

Дамп куда дели?

**[email protected]** · 03.10.2009, 21:52

Ну Вы сказали, что нужны логи, а не дампы, я решил не напрягать ваш сервер ненужной инфой.

Вот он, этот дамп. Что интересно, все сгенерированные имена файла драйвера пока-что начинались на латинскую "a".

**[email protected]** · 03.10.2009, 22:20

Да, в высланных логах вредоносное чудо под этим именем:

C:\WINDOWS\System32\Drivers\a2sgroya.SYS

**Aleksandra** · 03.10.2009, 22:28

Это от Daemon Tools.

**Aleksandra** · 03.10.2009, 22:32

То что важно, то подчеркнуто.

**[email protected]** · 03.10.2009, 22:38

Хм... мысль понял, но как-то раньше такого поведения не наблюдалось. Дело в то, что по времени совпало с постоянным "незакрытием Firefox", появлением в случайный момент времени строки "testtesttesttesttesttest..." в командной строке Тотала и сообщением при выключении/перезагрузке компьютера "Программа 'n'" (угу, именно n) не может быть завершена. Где-то с год назад пристрелил вручную руткит с похожим поведением (только файрфокса у меня тогда не было), но в том случае драйвер просто был скрыт перехваченными IRP_MJ_. Из-за схожести поведения в этот раз и заподозрил нехорошее.
Попробую деинсталлировать Daemon Tools и проверить еще раз.

**Aleksandra** · 03.10.2009, 22:45

Сообщение от [email protected]

Дело в то, что по времени совпало с постоянным "незакрытием Firefox", появлением в случайный момент времени строки "testtesttesttesttesttest..."

Избитая тема.

Сообщение от [email protected]

Попробую деинсталлировать Daemon Tools и проверить еще раз.

Это какая-то старая версия Daemon Tools.

**[email protected]** · 03.10.2009, 22:48

Прошу прощения за панику, действительно Daemon Tools. Видимо новая версия. Волшебная. Как закрыть тему?

Добавлено через 1 минуту

А если не секрет, с чем связана эта избитая тема: ....времени строки "testtesttesttesttesttest...".... ? Или это по поводу "совпало по времени"?
Ну если Вы в курсе