Руткит.

Была куча различных вирусов. Часть полечил. Остался по поим домыслам один руткит. На данный момент он динамически заблокировал запуск NOD32, AVZ, полиморфного AVZ, ProcessExplorer, ProcessMonitor, Autoruns, HiJackThis. При попытке их запуска получаю: "Отказано в доступе к указанному устройству или файлу". В связи с этим успел выполнить лишь один скрипт AVZ. Прошу понять мою ситуацию и не ругать за невыполнение правил подачи заявок. Как в обычном так и в безопасном режиме висит процесс 2538383405:3528962920.exe, который я не смог остановить никакими средствами.
Ну и естествено прошу профессиональной помощи.

Уважаемый(ая) [B]Saint-technik[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Это ZAccess

Лог TDSSkiller сделайте

Спасибо, вечером буду у зараженного компа сделаю. Насколько уже понял вышеуказанные мною программы не запускаются по причине того, что вирус "бъет" их exe'шки?

Как и обещал, лог TDSSKiller.

Запустите утилиту еще раз

Это удалите
[quote]2da84c97 (8f2bb1827cac01aee6a16e30a1260199) C:\WINDOWS\2538383405:3528962920.exe
23:10:16.0312 3468 Suspicious file (Hidden): C:\WINDOWS\2538383405:3528962920.exe. md5: 8f2bb1827cac01aee6a16e30a1260199
23:10:16.0593 3468 2da84c97 ( HiddenFile.Multi.Generic ) - warning
23:10:16.0593 3468 2da84c97 - detected HiddenFile.Multi.Generic (1)[/quote]

Это вылечите
[quote]23:10:27.0453 3468 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\netbt.sys. Real md5: 4ed248a6f7c6da7d456a6946f94604ce, Fake md5: 74b2b2f5bea5e9a3dc021d685551bd3d
23:10:27.0453 3468 NetBT ( Rootkit.Win32.ZAccess.e ) - infected
23:10:27.0453 3468 NetBT - detected Rootkit.Win32.ZAccess.e (0)[/quote]

Сделал так уже несколько раз. После перезагрузки TDSSKiller снова находит C:\WINDOWS\2538383405:3528962920.exe, и один из драйверов:
C:\WINDOWS\system32\DRIVERS\netbt.sys
C:\WINDOWS\system32\DRIVERS\redbook.sys
C:\WINDOWS\system32\DRIVERS\serial.sys
C:\WINDOWS\system32\DRIVERS\tcpip.sys
C:\WINDOWS\system32\DRIVERS\i8042prt.sys
Симптомы те же.
Заметил, что запуск AVZGuard решает проблему с блокированием утилит. Могу выполнить доп. логи.

[size="1"][color="#666686"][B][I]Добавлено через 22 минуты[/I][/B][/color][/size]

Похоже ZAccess удалил.
Порядок моих действий:
1. Запустил AVZ и включил AVZGuard.
2. В модулях пространства ядра нашел два драйвера со странными именами, которые были подсвечены AVZ PM.
3. Написал скрипт удаления этих драйверов по имени с помощью BC.
4. После перезагрузки снова запустил AVZ, включил AVZGuard.
5. Как доверенный процесс запустил TDSSKiller и выполнил им лечение.
Перезагрузился и увидел, что пропал процесс 2538383405:3528962920.exe и больше не блокируются антивирусные утилиты.
Спасибо за помощь. Завтра еще выложу логи согласно правилам и попрошу Вас проверить их на предмет остатков всяческой заразы.

Посмотрите пожалуйста логи на предмет наличия остатков заразы.
И еще: в данный момент некоторые файлы на диске С:\ недоступны на запись (например почти все в папке инсталяции NOD32). Права поменять не удается - все элементы управления неактивны, консольный attrib тоже не помогает. Удалить смог только загрузившись с LiveCD. NOD ругается на файлы автозапуска JavaUpdate, SoundMax и пр. как на Win32/Patched.NH и не может произвести очистку. Эти файлы также не доступны на запись.

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]

Лог полного сканирования МВАМ

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyCentria (Adware.MyCentria) -> No action taken.

Зараженные папки:
c:\program files\mycentria (Adware.MyCentria) -> No action taken.
c:\program files\mycentria\Firefox (Adware.MyCentria) -> No action taken.
c:\program files\mycentria\InfoBar (Adware.MyCentria) -> No action taken.

Зараженные файлы:
c:\program files\mycentria\mycentriauninstall.exe (Adware.MyCentria) -> No action taken.[/code]

Удалил. Файлы, на которые ругался нод очистил после остановки соответствующих процессов. На диске остались файлы, которые невозможно удалить, хотя прав достаточно и в реестре есть записи, которые также не удается удалить, например любая запись из "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options".
Кроме этого никаких странностей в системе больше не наблюдается.

А зачем Вам удалять записи из HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ?
Если бы среди них были неизвестные и ненужные, МВАМ бы это показал

Это я еще на этапе установки NOD32 после удаления ZAccess заметил, а после очистки MBAM, проверил еще раз (естественно с бекапом ветки). Буду надеятся, что такое поведение системы в дальнейшем не принесет неприятных сюрпризов.
Еще раз спасибо за помощь!