При сканировании с AVG было обнаружено 15 руткитов в системных файлахtracking cookie

Здравствуйте!

При сканировании всего компьютера антивирусной программой AVG [пытаюсь сканировать время от времени разными антивирусниками - Касперски, Dr.Web, AVG, NOD32 и др.] было обнаружено 15 руткитов, но они находились в системных файлах, которые нельзя было удалить / переместить из-за их критической важности.

вот они:

C:\WINDOWS\System32\Drivers\PCIIDEX.SYS";"Обработчик IRP, \Driver\PCIIde IRP_MJ_PNP -> PCIIDEX.SYS PciIdeXDebugPrint+0x2D80";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\System32\Drivers\PCIIDEX.SYS";"Обработчик IRP, \Driver\PCIIde IRP_MJ_POWER -> PCIIDEX.SYS +0x692";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\System32\Drivers\PCIIDEX.SYS";"Обработчик IRP, \Driver\PCIIde IRP_MJ_SYSTEM_CONTROL -> PCIIDEX.SYS PciIdeXDebugPrint+0x2DB4";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\System32\Drivers\PCIIDEX.SYS";"Обработчик IRP, \Driver\PCIIde IRP_MJ_INTERNAL_DEVICE_CONTROL -> PCIIDEX.SYS PciIdeXDebugPrint+0x2E38";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS";"Обработчик IRP, \Driver\hidusb IRP_MJ_DEVICE_CONTROL -> HIDCLASS.SYS +0x18FC";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS";"Обработчик IRP, \Driver\hidusb IRP_MJ_INTERNAL_DEVICE_CONTROL -> HIDCLASS.SYS +0x18FC";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS";"Обработчик IRP, \Driver\hidusb IRP_MJ_WRITE -> HIDCLASS.SYS +0x18FC";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS";"Обработчик IRP, \Driver\hidusb IRP_MJ_SYSTEM_CONTROL -> HIDCLASS.SYS +0x18FC";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS";"Обработчик IRP, \Driver\hidusb IRP_MJ_PNP -> HIDCLASS.SYS +0x18FC";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS";"Обработчик IRP, \Driver\hidusb IRP_MJ_READ -> HIDCLASS.SYS +0x18FC";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS";"Обработчик IRP, \Driver\hidusb IRP_MJ_CLOSE -> HIDCLASS.SYS +0x18FC";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS";"Обработчик IRP, \Driver\hidusb IRP_MJ_POWER -> HIDCLASS.SYS +0x18FC";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\system32\DRIVERS\HIDCLASS.SYS";"Обработчик IRP, \Driver\hidusb IRP_MJ_CREATE -> HIDCLASS.SYS +0x18FC";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS";"Обработчик IRP, \Driver\Disk IRP_MJ_SYSTEM_CONTROL -> CLASSPNP.SYS ClassInitialize+0x666";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS";"Обработчик IRP, \Driver\Disk IRP_MJ_PNP -> CLASSPNP.SYS ClassDebugPrint+0x713";"Объект находится в белом списке (критически важный/системный файл, который не должен быть удален)"

После сканировала компьютер через TDSSKiller нашло 1 только подозрительный:

08:06:59.0484 2556 Scan finished
08:06:59.0484 2556 ============================================================
08:06:59.0500 2672 Detected object count: 1
08:06:59.0500 2672 Actual detected object count: 1
08:07:28.0609 2672 C:\WINDOWS\system32\Drivers\sptd.sys - copied to quarantine
08:07:28.0609 2672 sptd ( LockedFile.Multi.Generic ) - User select action: Quarantine

потом ещё раз сканировала и снова его обнаружило, я просто удалила файл - C:\WINDOWS\system32\Drivers\sptd.sys
и после уже TDSSKiller ничего не находил!!!

Panda Anti-Rootkit никаких руткитов или подозрительных файлов не нашла.

Mcafee Rootkit Detective нашло 4 Hidden Registry Keys и я их удалила, перезагрузила всё очередной раз, просканировала снова и уже ничего ни одна из программ для сканирования компьютера на вирусы / руткиты ничего не находила.

Но я так и не поняла - все эти 15 руткитов, которые сразу были обнаружены в системных файлах - куда они делись? ведь удалить их антивирусник не мог, в карантин отослать - тоже "НЕТ"! вручную удалять системные файлы с папки драйверов - стрёмно как-то - потом и вся винда полетит; в добавок ко всему их не обнаружили TDSSKiller, Panda Anti-Rootkit, Mcafee Rootkit Detective... так как же их всё же найти и удалить? [к стати их avz4 и HijackThis тоже не нашли, avz4 троян один нашёл и какой-то 1 подозрительный файл]

Подскажите, пожалуйста!

И ещё, буквально за неделю-две до этого AVG начал находить при сканировании tracking cookie.yadro - я смотрела похожие случаи здесь на форуме и видела, что Вы помогали найти решение и с этим, хотя с tracking cookie.yadro последнее время затишье - я их удалила вручную через TotalComander нашла, и всё хорошенько CCleaner'ом почистила - больше пока их не видно... я просто и об этом написала - вдруг это всё взаимосвязано: причина и следствие... кто его знает?

Заранее спасибо!

Уважаемый(ая) [B]Galina Chanova[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

теперь уже вообще выскочило какое-то новое подключение!!!! [TV] 32LM66OT-ZA
вот скрин - [url]http://livelegend.ucoz.com/graffiti/0/khren-virus_ili_chto.jpg[/url]
я сразу поняла, что это вылезли наружу эти руткиты, уже в наглую на рабочий стол:094::094::094:
начала всё сканировать и AVG нашёл сразу один руткит, получилось даже его удалить - вот скрин - [url]http://livelegend.ucoz.com/graffiti/0/khren-virus_ili_chto001.jpg[/url] - но нужна была перезагрузка... а я сразу поставила дальше сканировать весь комп и в итоге AVG нашёл ещё около 10 руткитов и откуда-то 5 троянов, хотя уже второй день всеми лучшими антивируснивами, утилитами и прочей братией комп сканировала и никаких червей и троянов в помине не было!!! а сейчас после вылазки руткитов откуда-то появились трояны!
не знаю чего делать? как их удалить окончательно, как обнаружить и обезвредить? и как они вообще попали мне на комп - ведь не лажу по непонятным сайтам вообще.
последний раз поставила комп на сканирование и пока 85% - без вирусов и руткитов - но так и не понятно, они все были удалены или просто спрятались в другом месте? так как выбрать всем руткитам действие "УДАЛИТЬ" я не успела, так как комп просто начал перезагружаться, потому что для удаления одного нужна была перезагрузка...
просто не знаю что делать

Searchqu Toolbar Удалите через установку/удаление программ.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните в АВЗ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Thinstall\Microsoft Office Enterprise 2007\40000010700002i\chrome.exe','');
QuarantineFile('C:\WINDOWS\system32\rebuild.exe','');
QuarantineFile('C:\PROGRA~1\SEARCH~1\Datamngr\ToolBar\searchqudtx.dll','');
QuarantineFile('C:/QGNA/qgna.exe','');
DeleteFile('C:/QGNA/qgna.exe');
DeleteFile('C:\PROGRA~1\SEARCH~1\Datamngr\ToolBar\searchqudtx.dll');
DeleteFile('C:\WINDOWS\system32\rebuild.exe');
DelBHO('{CCC7A320-B3CA-4199-B1A6-9F516DD69829}');
DelBHO('{99079a25-328f-4bd4-be04-00955acaa0a7}');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GameNet');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','IE7_013');
RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce','IE7_013');
RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce','IE7_013');
RegKeyParamDel('HKEY_USERS','S-1-5-21-606747145-602162358-839522115-1006\Software\Microsoft\Windows\CurrentVersion\RunOnce','IE7_013');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','IE7_013');
DeleteFileMask('C:\PROGRA~1\SEARCH~1','*',true);
DeleteDirectory('C:\PROGRA~1\SEARCH~1');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

[COLOR="#FF0000"]Компьютер перезагрузится[/COLOR]

[B]После перезагрузки:[/B]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR]" вверху темы.


- Установите [URL="http://windows.microsoft.com/ru-RU/windows/help/learn-how-to-install-windows-xp-service-pack-3-sp3"]SP3[/URL] ([COLOR="#FF0000"]может потребоваться активация[/COLOR]), а также все доступные [URL="http://www.update.microsoft.com/"]обновления для Windows[/URL]

- Повторите логи.

- [URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].

Searchqu Toolbar в установке/удаление программ - нет вообще этой проги
думала удалить вручную везде на диске C, но C:\Program Files нет Searchqu Toolbar

скрипты АВЗ, обновления и т.д. делаю - потом скину всё необходимое - просто непонятки с удалением Searchqu Toolbar возникли

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Файл quarantine.zip из папки AVZ загрузила

далее установлю SP3 и обновления Windows, а потом лог полного сканирования

[quote="Galina Chanova;948806"]скрипты АВЗ, обновления и т.д. делаю - потом скину всё необходимое - просто непонятки с удалением Searchqu Toolbar возникли[/quote]
Ок, нет так нет, удалится скриптом, делайте дальше...

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]