Неизвестный руткит

Получил данный руткит из инфицированного патча к Splinter Cell Blacklist. При запуске система на несколько минут сильно грузилась, только затем появлялась установка патча.
Был установлен Dr.Web 6, Spider работал, вирусные базы обновлены, но он ничего не обнаружен. Он начал выдавать предупреждения только, когда этот руткит пытался то ли записать файл exe.etadpuelgoog в папку %$LOCAL_APPDATA%\Google\Update... Точно уже не помню, т.к. словил его еще пару недель назад. Вероятно, он еще пытался модифицировать файл hosts, но прав у него на это не было. Казалось бы, я вылечил систему с помощью Malwarebytes и ComboFix (правда потом слетел брандмауэр Windows, пришлось его долго и нудно восстанавливать), но на днях обнаружил, что после нескольких минут бездействия выключаются USB и PS/2 и больше не включаются, помогает только перезагрузка. Обновил Dr.Web до 8 версии, т.к. поддержка 6 уже закончилась, тут я обнаружил, что svchost.exe после загрузки пытается модифицировать файл hosts. Полная проверка Dr.Web'ом, TDSKiller, AVZ, Malwarebytes (mbam и mbar), Stinger и других анти-руткитов толком ничего не выдает.
Но проверка gmer выдает много подозрительных объектов, еще в настройках восстановления системы почему-то было два диска C.

Уважаемый(ая) [B]EXEtrimALL[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Отключите временно Dr.Web, выгрузите MBAM и MBAR.
Скачайте и запустите TDSSKiller: [url]http://support.kaspersky.ru/faq/?qid=208636926[/url].
Если программа выдаст предупреждение на файл WINDOWS\system32\Drivers\sptd.sys - не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

[QUOTE=Vvvyg;1035148]Отключите временно Dr.Web, выгрузите MBAM и MBAR.
Скачайте и запустите TDSSKiller: [url]http://support.kaspersky.ru/faq/?qid=208636926[/url].
Если программа выдаст предупреждение на файл WINDOWS\system32\Drivers\sptd.sys - не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)[/QUOTE]
Забыл сразу упомянуть, через него вчер в первую очередь после Dr.Web прогнал - ничего не найдено.
Приложил лог:

[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url].

Вот еще нашел скриншот того самого файла exe.etadpuelgoog, который обнаружил mbar.
Сам файл, к сожалению, я уже удалил. Возможно, он снова скоро всплывет в системе, тогда добавлю его сюда.

[quote="EXEtrimALL;1035137"]и ComboFix[/quote]
его лог тоже прикрепите и в будещем самостоятельно его не запускайте, после него не только брандмауэр, но и всё остальное слететь может.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

+[quote="EXEtrimALL;1035137"]Получил данный руткит из инфицированного патча к Splinter Cell Blacklist.[/quote]
если можно пришлите мне в личку этот файл в архиве с паролем [B]virus[/B]

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

+[LIST=1][*]Скопируйте следующий текст в [U]Блокнот[/U] и сохраните в папку с распакованным [B]TDSSKiller.exe[/B], как [b]fix.bat[/b]:[code]tdsskiller.exe -qmbr -qboot[/code][*]Запустите файл [b][i]fix.bat[/i][/b];[*]Найдите в корне системного диска (обычно это диск [i]C:[/i]) папку [b][i]TDSSkiller_Quarantine[/i][/b];[*]Заархивруйте эту папку с паролем [B][COLOR="#FF0000"]virus[/COLOR][/B]. И и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.[/list]

Образ автозапуска прикладываю. Как видно, там грузится подозрительный драйвер из папки windows\temp\, каждый раз у него случайное имя.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Отправил карантин загрузочных секторов.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[QUOTE=regist;1035174]его лог тоже прикрепите и в будещем самостоятельно его не запускайте, после него не только брандмауэр, но и всё остальное слететь может.[/QUOTE]Старые логи я уже удалил, а запускать заново я не решаюсь, все равно в рошлый раз он не вылечил все до конца, зато 2 дня я восстанавливал брандмауэр.

[QUOTE=regist;1035174]если можно пришлите мне в личку этот файл в архиве с паролем [B]virus[/B][/QUOTE]Файл 1,7 Гб и, к сожалению, у меня его уже не созранилось - удалил его сразу, как понял, что он заражен. Из источника его тоже удалили, т.к. я сообщил туда, что файл заражен.

[QUOTE=regist;1035174][LIST=1][*]Скопируйте следующий текст в [U]Блокнот[/U] и сохраните в папку с распакованным [B]TDSSKiller.exe[/B], как [b]fix.bat[/b]:[code]tdsskiller.exe -qmbr -qboot[/code][*]Запустите файл [b][i]fix.bat[/i][/b];[*]Найдите в корне системного диска (обычно это диск [i]C:[/i]) папку [b][i]TDSSkiller_Quarantine[/i][/b];[*]Заархивруйте эту папку с паролем [B][COLOR="#FF0000"]virus[/COLOR][/B]. И и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.[/list][/QUOTE]

Отправил карантин загрузочных секторов.

Я плохого не вижу...

[QUOTE=Vvvyg;1035194]Я плохого не вижу...[/QUOTE]Но где-то что-то сидит: [ATTACH=CONFIG]434505[/ATTACH]
Я попробовал разрешить модифицировать hosts, но он не поменялся.

Смог отловить тот драйвер, который загружается под рандомными именами в папке system32\temp и исчезает сразу после запуска. Он же пытается модифицировать hosts, судя по всему. Это оказался dwshield64.sys (под другим именем).
На всякий случай прикладываю, хотя у файла, вроде бы, есть цифровая подпись. Странно почему сам доктор веб спрашивает разрешения ан загрузку этого драйвер и зачем он пытается модифицировать hosts.
Кстати, на этом компьютера позевчера умер биос, хотя и комп был за ибп (со стабилизатором) - не понятна причина. Несколькими днями ранее то же самое произошло на втором компе, который находится в общей локалке, но там был Dual Bios, который мигом все восстановил (второй комп тоже за ибп). Совсем какая-то чертовщина творится.

Поздравляю, вы отловили драйвер от Dr.Web Shield :>
Ещё проблемы есть?

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]