Помогите поймать руткит (наверное руткит).

Приветствую.
Давеча принесли одну завирусованную по самые гладны машинку (для инфы - там стоял корпоративный симантек ver10.1.5000, регулярно обновляемый. Но у пользователя - права админа :(). Ок.
Проверял следующим (Сначала, ессно подключил винт из этой машины к чистому ПК. После глобальной внешней зачистки продолжил в Safe Mode,и только потом уже из под нормально загруженной винды ). На ПК установлена XP SP2 Rus + все патчи про какие Windows Update знает.
1.KAV 6 - с последними базами
2.Dr.Web 4.44 с последними базами
3. AVZ с последними базами.
4. AVG Antirootkit (последний)
5. unhackMe 4.5 Rus
6. Gmer 1.014
7. RootkitRevealer
8. RootKit UnHooker LE 3.7
Гуана всякого было вычищенно безмерно. Каталог System Restore ессно грохнул в первую же очередь. Но, imho, один зверёк остался. По симптомам. Ставлю галку в свойствах папки - Показывать скрытые файлы и папки -ОК, а оно само назад возвращается в Положение Скрывать скрытые папки и файлы.:D

Работаю, ессно, из под локального админа. Шаблон setup secure применил.

Комп - однозначно уйдёт под формат, но очень хочется зверушку поймать :)
Лог AVZ прилогаю.

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\MKCIPCLMXZMCRK.exe','');
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\HAXMQ.exe','');
ExecuteRepair(6);
ExecuteRepair(8);
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....

Файл - Восстановление системы - п.6 и 8 пробовали?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Опоздал. В скрипте V_Bond'a оно есть :)

Вроде как отправил...Но что-то под конец подвисло. Дошло?

Нет. Должно быть сообщение, что файл успешно загружен, попробуйте еще раз.

Залил.
Только того...Я нечаянно ( :)) заборол (вроде) таки руткит. Глядя на конфиг скрипта, пришла светлая мыль - зачистить каталог C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\
Зачистил.
После перезагрузки - галка Показывать скрытые файлы и папки не слетает и всё показывается :)
Но не ясно какой файл был руткитом/трояном и почему мне удалось его спокойно удалить.....
Да. Я из папки Карантин удалил пару файликов - там вирей точно нет, а кой-кая приватная инфа есть.

[QUOTE=KIRIFAN;189687]
После перезагрузки - галка Показывать скрытые файлы и папки не слетает и всё показывается :)
[/QUOTE]
так и должно быть - это результат работы скрипта ....
что вы там напихали в карантин 16 мегабайт ? ... удалите все оставте только два запрашиваемых файла и перезалейте ...

[QUOTE]так и должно быть - это результат работы скрипта ....[/QUOTE]А я то размечтался :(

[QUOTE]что вы там напихали в карантин 16 мегабайт ? ... удалите все оставте только два запрашиваемых файла и перезалейте ... [/QUOTE]
Упс. Два запрашиваемых это
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\MKCIPCLMXZMCRK.exe','');
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\HAXMQ.exe'

???
Я залил всё что он (AVZ) в карантин насувал :worried:

нет симантик и аську я и с офсайта скачаю ... ;)

Залил.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]83[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]