Имеется подозрение на рооткит.

Доброго времени.
Ноутбук с WinXP SP2(поставлена второй раз, поэтому рабочий каталог windows.0). Некоторое время назад появилась зараза, разнообразная и многочисленная, была убита антивирусами(NOD32, DrWeb) и утилитами. Но упорно появляется снова. При проверке AVZ вызывает подозрение строка "C:\WINDOWS.0\system32\Drivers\utezmtu5.sys", такого файла не видно даже под параллельной системой. Был руками создан каталог "C:\WINDOWS.0\system32\Drivers\utezmtu5.sys", но все равно эта строка присутствует в логе AVZ.
При просмотре "Модули пространства ядра" были замечены пути файлов,указывающие на каталог "C:\WINDOWS.0\0\", в их числе C:\WINDOWS.0\0\system32\hal.dll. Думаю излишне писать, что такого каталога не существует.

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winqy86.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winem20.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winag52.sys','');
QuarantineFile('C:\WINDOWS.0\system32\Drivers\utezmtu5.sys','');
QuarantineFile('C:\IBMTOOLS\drivers\HOTKEY\EZBTNS\JP\EZINIT.EXE','');
QuarantineFile('C:\CS3000\his\tool\OPCBBrsItem.exe','');
QuarantineFile('tphklock.dll','');
QuarantineFile('msvcrt64.dll','');
QuarantineFile('fanxctrl.dll','');
QuarantineFile('C:\WINDOWS.0\system32\fanxctrld.sys','');
DeleteFile('%system32%\fanxctrl.dll');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winag52.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winem20.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winqy86.sys');
DeleteFile('C:\WINDOWS.0\system32\fanxctrld.sys');
DeleteService('Winag52');
DeleteService('Winem20');
DeleteService('Winqy86');
DelWinlogonNotifyByKeyName('fanxctrl');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('fanxctrld');
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=27945[/url] ).

Очистите временные папки и кеш браузера.
Сделайте новые логи.

Выполнил скрипт, прикладываю новые логи.
В карантине кроме "честных" файлов(EZINIT.EXE - драйвер для выброса лотка привода, OPCBBrsItem.exe - часть от OPC-сервера) не содержиться ничего "вкусного".

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelWinlogonNotifyByFileName('tphklock.dll');
DelWinlogonNotifyByKeyName('tphotkey');
RegKeyDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\msvcrt64.dll');
QuarantineFile('C:\WINDOWS.0\System32\tphklock.dll','');
QuarantineFile('C:\WINDOWS.0\System32\msvcrt64.dll','');
DeleteFile('C:\WINDOWS.0\System32\msvcrt64.dll');
DeleteFile('C:\WINDOWS.0\System32\tphklock.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=27945[/url] ).

Очистите временные папки и кеш браузера.
Сделайте новые логи.

Выполнил скрипт. Прикладываю логи, карантин выслал. Карантин практически пустой. ИМХО, единственный файл который там содержится - "честный".

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O21 - SSODL: msvcrt64.dll - {9859E253-DD72-4783-B216-9A66011079E7} - msvcrt64.dll (file missing)[/CODE]
В остальном чисто. Сервис Пак 3 поставьте. Как работает система?

Пофиксил.
[QUOTE=Rene-gad;266931]
В остальном чисто. [/QUOTE]
Вы уверены?
Вызывают сомнение наличее следующих записей:
1. Подозрение на RootKit C:\WINDOWS.0\system32\Drivers\utezmtu5.sys.
2 C:\WINDOWS.0[b]\0\[/b]system32\hal.dll и аналогичных.
Повторюсь - этих файлов не существует.

WinXP дико долго включается и выключается. В данный момент на этом ноутбуке никаких работ не производится, отдан на "лечение".

1. C:\WINDOWS.0\system32\Drivers\utezmtu5.sys - драйвер AVZ, только непонятно, почему он не прошел по базе безопасных. Возможно, глюк.
2. Похоже на глюк... На всякий случай можете в [url=http://rapidshare.com/files/133061044/IceSword122en.zip.html]IceSword[/url], внизу слева в меню File, в аналоге проводника поискать эту папку. Если ее не найдете, то ее нет.

[b]kps[/b]
1. Вы ничего не путаете? В логе запись - "[b]vd[/b]ezmtu5.sys - AVZ-BC Kernel Driver", подозрение вызывает "[b]ut[/b]ezmtu5.sys". Или это от какой-то прошлой версии AVZ?
2. IceSword показал, что такой папки нет. Но объясните мне, как может работать windows без "Hardware Abstraction Layer DLL"(hal.dll), "VGA Boot driver"(BOOTVID.dll), "Системной библиотеки NT"(ntdll.dll)? Список можно продолжить, в результате вывода "Модули пространства ядра" 11 позиций, для которых явно видел "левый" путь.

1. Этот драйвер от AVZ BC, как Вы сами написали (т.е. от BootCleaner). А я говорил о другом.
2. Эти файлы есть, просто они находятся по правильному пути. А отображение этого пути с нулем - похоже, глюк AVZ. Можете написать об этом здесь: [url]http://virusinfo.info/showthread.php?t=21108&page=17[/url]

1. И в самом деле "хвост" от AVZ. После выполнения скрипта "Удаление всех драйверов ... AVZ" ссылка на "utezmtu5.sys" из лога пропала.
2. Хотелось бы верить, что проблема заключается в работе AVZ. Но смущает то, что ВСЕ файлы, имеющие такие пути, подозрительны с точки зрения уязвимости системы.
На данный момент у этого компютера не замечено странной сетевой активности.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]29[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]