Подозрение на наличие в системе руткита, трояна и кейлоггера.

Дня два назад заметил в системе странные вещи, которые сначала списывал на глюки железа или венды:
1) Периодически на короткий промежуток времени переставали работать разные комбинации клавиш с клавишей "shift", например "shift+y", "shift+/", "ctrl+shift", возможно и другие комбинации клавишь перестают работать, но я не помню, чтобы такое заметил.
2) При выделении, копировании, переименовании файлов и обычных окнах вендозного эксплорера(explorer.exe) периодически стало вылезать окно где мне венда предлагала выбрать куда я хочу скопировать файлы, по дефолту путь обычно был то-ли "[COLOR="DimGray"]C:\Windows\System32\drivers[/COLOR]", то-ли просто "[COLOR="DimGray"]C:\Windows\System32\[/COLOR]".

Через некоторое время после начала глюков я запустил утилиту HiJackThis, и запустил скан, в результатах скана заметил несколько странных записей, о которых я к сожалению помню только то, что там фигурировало "[tsuninstall]", "RunOnce" и таких записей, практически идентичных было три, у одной в конце видел "SYSTEM", у другой, если не изменяет память "NETWORK", а у трей то-ли ничего не было, то-ли было имя пользователя(Administrator), кроме того в первых строчках результатов скана HTJ была вот такая строка:
[COLOR="DimGray"]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 89.107.26.229:3128[/COLOR]
насчет которой я сначала решил, что просто забыл удалить прокси сервер из его настроек.


После этого я скачал утилиту Dr.Web CureIT, перезагрузился в сэйф мод, и прогнал полную проверку системного диска, результатом стало только это:
[COLOR="DimGray"]C:\WINDOWS\system32\3913560.exe инфицирован Trojan.Popuper.6943 - удален[/COLOR]
После завершения скана, я на всякий случай провериться ещё и Virus Removal Tool от касперского, тоже свежескачанной. Запустил проверку в максимально "параноидальном" режиме сначала с проверкой "программ и документов" по расширению и потом "прорамм и документов" по содержимому, эта утилита ничего больше не смогла найти.

После произведения вышеупомянутых действий я загрузился в обычном режиме, и на всякий случай ещё раз запустил HiJackThis, где заметил, что строка в которой говорилось о проси сервере установленном в IE вернулась обратно на своё место, ещё раз пофиксил её, но при следующем запуске HTJ через пару минут она снова была там...

Через некоторое время после загрузки проблемы с комбинациями клавиш, в которых учавствовал "shift" и окна с вопросами отом куда я хочу переместить файлы вернулись, так же был замечен ещё один глюк, при переключении в окно проигрывателя(foobar2000), через некоторое время проигрываемый трек начал с интервалом в несколько милисекунд на несколько милисекунд ставиться на паузу, в общем создавалось ощущение, что система просто начала подтормаживать...

Ну собственно через некоторое время после этого я решил обратиться сюда, ещё раз просканировался утилитой CureIt в безопасном режиме, которая уже ничего не нашла, а дальше выполнил указания по диагностике.

P.S. Надеюсь я не слишком много личшней информации изложил тут.
P.P.S. Ума не приложу откуда эта штука взялась, т.к. я не использую Internet Explorer для просмотра страниц, а пользуюсь только оперой с отключенной жавой, FF с noscript'ом, недавно так же поставил Google Chrome, Iron(броузер на движке Chronium, который используется в упомянутом Google Chrome) и Arora, которыми несколько раз просматривал разный страници. Кроме того, почти всё, что я скачиваю, я обычно проверяю на virustotal.com, изредка конечно бывает что что-то не проверяю, но обычно это что-то вроде дистрибутива опервы слитого с её сайта, хотя такие вещи тоже стараюсь проверять... Ну, кроме этого у меня ос Win2k3, в которой отключены потенциально опасные сервисы вроде удаленного реестра(ну, возможно не все), отключен NetBios, включено автоматическое обновление и вобще я стараюсь не пользоваться софтом о котором известно, что он весьма дырявый, например mIRC, Outlook и уже упомянутый Internet Explorer...

[B][COLOR="Red"]UPDATE:[/COLOR][/B]
Забыл добавить, файл "ah8w1pvh.SYS" и "a3srl5u5.SYS" - это судя по всему одно и то же и судя по всему он меняет своё имя после каждой перезагрузки или с интервалом в несколько минут, кроме того просто так его в папке не видно.

в логах ничего плохого ....
ah8w1pvh.SYS" и "a3srl5u5.SYS - эмулятор дисков

А какой именно эмулятор?

А от чего у меня могут быть упомянутые глюки? Неужели таким странным образом у меня глючит клава?

И почему в HTJ строка "R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 89.107.26.229:3128" появляется снова через некоторое время после фикса?

Кстати, у меня оказывается уже были проблемы с упомянутым троем, почти ровно год назад:
[url]http://virusinfo.info/showthread.php?t=25454[/url]

Может-ли быть, что у меня где-то какой-то очень мало распространенный или очень навароченный руткит сидит?
Какие ещё действия для диагностики можно предпринять?

89.107.26.229 - вообще-то шаровый прокси .... не пользуетесь? убирается через свойства обозревателя ...
[QUOTE]А какой именно эмулятор?[/QUOTE] демон , алкоголь - вам виднее ...

[QUOTE=V_Bond;414259]89.107.26.229 - вообще-то шаровый прокси .... не пользуетесь? убирается через свойства обозревателя ...[/QUOTE]
А где именно, что-то я не могу его там найти, в Tools>Internet Options>Connection>Lan Settings... его нет, а нигде в другом месте я упоминания прокси не могу найти... Кроме того, я его фиксил через HTJ, после чего я сразу произвел повторный скан и его там не было, а потом минут через 5-10, может больше, я просканил ещё раз и он там снова появился...

Ну и ещё одна маленькая странность, после safe mode у меня сбиваются некоторые настройки папок, например каждая новая папка открывается в новом окне и полный путь не показывается в её заголовке, кроме того вид папок сбивается на "Icons" с "Details"...

[QUOTE=V_Bond;414259]демон , алкоголь - вам виднее ...[/QUOTE]
У меня есть DAEMON Tools версии 4.10, но я не совсем понимаю зачем ему менять имя файла драйвера каждый раз при запуске, и почему он не показывает его в папке... Это абсолютно точно драйвер от эмулятора?

[COLOR="Red"][B]UPDATE:[/B][/COLOR]
Как-то это странно совсем, когда после загрузки около час всё работает нормально, а потом начинаются проблемы... ещё странно то что shift+r работает а shift+t не работает тоесть вопервых несколько разных комбинаций клавишь которые не работают с шифтом когда все остальные в это время работают... Сейчас попробую вторую клавиатуру подключить посмотрим изменится-ли что может действительно что-то странное. (Сорри что без запятых - не работает комбинация клавиш.)

[COLOR="Red"][B]UPDATE2:[/B][/COLOR]
С другой клавиатурой точно такие же проблемы, толкьо вот когда на одной клавиатуре эти клавиши работают - надругой они не работают.

[QUOTE='Shadow[13];414275']
С другой клавиатурой точно такие же проблемы, [/QUOTE]Значит не с клавиатурой проблемы, а с материнкой, по крайней мере с портом клавиатуры. У Вас USB или PS2-подключение? Смените на противоположность. Если проблемы уйдут - хорошо, нет - значит материнка.

[QUOTE=Rene-gad;414511]Значит не с клавиатурой проблемы, а с материнкой, по крайней мере с портом клавиатуры. У Вас USB или PS2-подключение? Смените на противоположность. Если проблемы уйдут - хорошо, нет - значит материнка.[/QUOTE]
Так, как я уже говорил, проблемы проявляются далеко не всегда... Сейчас попробую воткнуть ещё PS/2 клавиатуру, а потом когда будут проблемы - проверю, заодно из под bartpe попоробую загрузиться и просканироваться...
Но всёравно, странно очень, проблемы проявляются далеко не всегда...
Вот, под BartPE заодно попробую проверить будут-ли те же проблемы, хотя их может просто не возникать часами... Кстати, я помню когда-то на сайте посвященном руткитам читал кусок статьи о руткитах, которые живут в железе, можете что-нибудь сказать по этому поводу или посоветовать что-нибудь почитать?

Ну и кроме того, можете посоветовать ещё какие-нибудь способы просканироваться? Хочется проверить все возможные варианты.

[QUOTE='Shadow[13];414646']Кстати, я помню когда-то на сайте посвященном руткитам читал кусок статьи о руткитах, которые живут в железе...[/QUOTE]Они на деревьях живут - как мартышки.... :> И бананами кидают в доверчивых пользователей...
Где Вы такое читали?

Где точно читал не помню, но название сайта было что-то вроде "rootkit.org", в статье конкретно упоминался какой-то руткит который был в биосе то-ли звуковой карты то-ли видео карты...
BartPE не грузится, доходит до загрузки десктопа, грузит свою обоину, думает некоторое время, потом меняет разрешение на более высокое и через секунду перезагружается...
А вобще, учитывая что современный софт для современных мамок умеет обновлять биос из нета и при живой системе(ну и возможности обновления биосов прочего железа), и учитывая общие тенденции увеличения количества багов и дыр мне вполне верится в то, что руткит, который может залезть в железо вполне может существовать... Другое дело, что у меня каких-то конкретных данных по этому вопросу нет... :)

[COLOR="Red"][B]UPDATE:[/B][/COLOR]
Вроде как на "rootkit.com" я эту инфу читал... Но это года 2-3 назад было примерно...

[B][COLOR="Red"]UPDATE2:[/COLOR][/B]
Не могли бы вы заодно помочь мне избавиться от Keyboard Maestro? :) А то что-то его анинсталл сносить не хочет.

[QUOTE='Shadow[13];414678']
Не могли бы вы заодно помочь мне избавиться от Keyboard Maestro? [/QUOTE]
[CODE]begin
DeleteService('KeyMaestro');
DeleteFile('C:\WINDOWS\system32\drivers\Maestro1.sys');
RebootWindows(true);
end.
[/CODE]

Хех.. теперь клавы перестали работать =)
"Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39)" удал./добавл. клав не помогает =)

[B][COLOR="Red"]UPDATE:[/COLOR][/B]
Пришлось обратно поставить KeyMaestro, в прочем саму программу я потом снес, от неё видимо опять остался только драйвер, без которого клава теперь наверное не будет работать... Возможно он просто при установке драйвера меняет какие-то настройки и если их восстановить, то клавиатуры бы нормально работали...

Хм... Теперь начались странности с переключением раскладки на PS/2 клавиатуре.
Может ещё можно какие-нибудь исследования провести на предмет руткитов, кейлоггеров, троянов и прочего?..

[QUOTE='Shadow[13];424003']
Может ещё можно какие-нибудь исследования провести на предмет руткитов, кейлоггеров, троянов и прочего?..[/QUOTE]Если Вы ждете помощи в исследованиях - выполните правила.
Клавиатуру просто поменять на другую пробовали?

[QUOTE=Rene-gad;424006]Клавиатуру просто поменять на другую пробовали?[/QUOTE]
[url]http://virusinfo.info/showpost.php?p=414511&postcount=6[/url]