Руткит: как диагностировать и очистить?

Недавно компьютер начал вываливаться в BSOD. Подозрение пало на [URL="https://www.anti-malware.ru/threats/rootkits"]руткиты[/URL], я прогнал AVZ и обнаружил:
[QUOTE]
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=288, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 288)
Маскировка процесса с PID=380, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 380)
...ещё куча процессов.
[/QUOTE]

[LEFT][COLOR=#000000][FONT=Arial]Kaspersky TDSSKiller мне помог обнаружить и удалить (неактивный?) [/FONT][/COLOR][FONT=Arial][COLOR=#333333]TLD4 (что это именно TLD4 я понял из статьи [/COLOR][/FONT][URL]http://resources.infosecinstitute.com/tdss4-part-2/[/URL]), однако проблему обнаруженную AVZ это не поправило. GMER же обнаружил следующее:

[QUOTE]
.text a760yo7t.SYS 970DC000 12 Bytes [44, C8, 41, 83, EE, C6, 41, ...]
.text a760yo7t.SYS 970DC00D 9 Bytes [A7, 41, 83, 48, CB, 41, 83, ...] {CMPSD ; INC ECX; OR DWORD [EAX-0x35], 0x41; ADD DWORD [EAX], 0x0}
.text a760yo7t.SYS 970DC017 20 Bytes [00, DE, 07, 9A, 8B, E6, 05, ...]
.text a760yo7t.SYS 970DC02C 149 Bytes [00, 00, 00, 00, C0, 71, 48, ...]
.text a760yo7t.SYS 970DC0C3 8 Bytes [00, 00, 00, 00, 00, 00, 00, ...] {ADD [EAX], AL; ADD [EAX], AL; ADD [EAX], AL; ADD [EAX], AL}
########пропущено лишнее############
IAT \SystemRoot\System32\Drivers\a760yo7t.SYS[ataport.SYS!AtaPortNotification] [00147880] \Windows\System32\autochk.exe (Auto Check Utility/Microsoft Corporation)
IAT \SystemRoot\System32\Drivers\a760yo7t.SYS[ataport.SYS!AtaPortQuerySystemTime] 78800C75
IAT \SystemRoot\System32\Drivers\a760yo7t.SYS[ataport.SYS!AtaPortReadPortUchar] 06750015
IAT \SystemRoot\System32\Drivers\a760yo7t.SYS[ataport.SYS!AtaPortStallExecution] C25DC033
########ещё около 20 подобных строчек####
[/QUOTE]



Файла с таким именем не существует и его название меняется с каждой перезагрузкой. Я вспомнил, что когда-то читал о рутките с такими симптомами, и решил попробовать обратиться к профессионалам этого форума. Спасибо.



[/LEFT]

Уважаемый(ая) [B]ariksu[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Это больше похоже на модуль от эмулятора CD-привода.
Насколько я вижу по логам, вы не используете программы вроде Daemon Tools или Alcohol 120, но драйвер sptd в системе присутствует. Удалите этот драйвер и (после перезагрузки) сделайте новые логи AVZ и Gmer.

Это действительно оказался sptd (Daemon tools у меня всё-таки был), после перезагрузки лог GMER очистился. На лог AVZ это не оказало особого влияния, но это же может быть и Securom...

p.s. Трудно искать чёрную кошку в тёмной комнате, особенно если её там нет.

Ничего плохого в логах.

Спасибо большое. :)