Удаление скрытого драйвера

[nord405]

При проверке на руткиты был обнаружен скрытый драйвер, который обнаруживается антивирусами, но неудаётся с помощью них удалить данный драйвер - при попытки удалить антивирус просит перезагрузить, после чего он снова обнаруживает данный драйвер но уже с другим именем(расширение данного драйвера *.SYS). так же его нельзя обнаружить с помощью антивирусных инструментов, нельзя его обнаружить и с помощью файловых менеджеров, возможным следствием данного вредоносного объекта является нестабильное интернет соединение, изменение интерфейса окон ,зависание браузера.

[snifer67]

Сделайте такие логи http://virusinfo.info/showthread.php?t=58309 http://virusinfo.info/showthread.php?t=53070 +Сделаете логи avz и Hijackthis.

[nord405]

вот логи инструментов,с отключением некоторых программ вышло не совсем удачно

[Макcим]

Выполните скрипт

Код:

begin
 QuarantineFile('C:\WINDOWS\system32\drivers\EIO_XP.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\Lbd.sys','');
end.

Загрузите карантин согласно приложению №3 правил. Сделайте такой лог http://virusinfo.info/showthread.php?t=40118

[nord405]

вот лог от Gmer, скрипты выполнил,но каких либо изменений не было зафиксировано. Не могли бы вы подсказать последствия работы руткитов и с помощью какой программы можно просматреть все скрытые файлы и драйверы, как можно заблокировать работу данного драйвера.? Спасибо.

[Макcим]

Пришлите карантин.

Не многовато ли защитных средств? Ad-Aware, AVG, PC Tools... Ещё и Daemon Tools, который и есть Ваш руткит.

[nord405]

вот карантин, так много защитных средств необходимо для дуалап соединения, так как часто приходиться подвергаться атаке сканированием портов

[Rene-gad]

так много защитных средств необходимо для дуалап соединения, так как часто приходиться подвергаться атаке сканированием портов

Сказки. Сакнирование портов осуществляется извне, не обязательно является атакой с нехорошими целями и никак не зависит от того, что у Вас установлено. Можете снести все защитные приложения или установить ещё десяток: если я знаю Ваш IP и наберу команду

Код:

ping <<Ваш IP>>

- получите сканирование портов в полной мере.

[nord405]

Других средств защиты я незнаю, такое большое количество защитных систем связано отчасти тем, что каждый из них имеет свои особенности,т.е. какие то слабости одной из программ компенсирует другая, но я могу ошибаться....

[Rene-gad]

какие то слабости одной из программ компенсирует другая

Слабости программ складываются, в результате получем уязвимость системы.
Для нормальной работы обязательным условием являются только установленные обновления и патчи от производителя OS, желателен постоянно обновляемый полноценный антивирус.
Файрвола вполне достаточно встроенного, Анти-Тысяча-Несчастий и др. Квази-блокеры можно и не устанавливать.

[nord405]

А что со скрытом драйвером то делать?

[Rene-gad]

А что со скрытом драйвером то делать

AVG обнаружил скрытый драйвер? Какой и где? Плиз, полное имя и путь к файлу.

[nord405]

"C:\WINDOWS\System32\Drivers\arullv3w.SYS"; "Скрытый драйвер";"Объект скрыт"
он меняет своё имя при каждой перезагрузки.

[Rene-gad]

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
- Сделайте лог GMER.

[nord405]

В лог_часть укзазан тот самый драйвер,который обнаруживается антивирусом

[Rene-gad]

AVG Firewall Service
Comodo Personal Firewall

Вот и дерутся у Вас драйверы файрволов за свободу. АВГ-Файрвол для АВГ-Антивируса родной, Комодовский - враждебный. Сказал же Вам Maxim - поудаляйте все защитные тулзы. Оставьте только АВГ - там уже ВСЁ естъ.

[nord405]

Скрытый драйвер был обнаружен АВГ до установки каких либо фаирволов

Добавлено через 6 минут

Да и имя менял при каждой перезагрузки, это слегка насторожило,думаю придётся сносить ОС. Спасибо за оказанную помощь!

[Rene-gad]

Скрытый драйвер был обнаружен АВГ до установки каких либо фаирволов!

Удалите ВСЁ, кроме АВГ. Это явно драйвер от какого-то защитного софта или от эмулятора чего-нибудь, который Вы сами установили.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены