Атака руткитов

Система Microsoft Windows XP Media Center Edition версия 2002 Service Pack 3. Антивирусник Windows Live OneCare.
Суть проблемы: компьютер стал медленно выключаться и почти не реагирует на Пуск-> выход из системы(или выключение). Плохо работает клавиатура. Выполнила все строго по инструкции. Проверка Касперским и Др.ВЭБ ничего не дали.[B] Файл syscure.zip AVZ не создал.[/B]
После запуска AVZ в нормальном режиме работы системы
антивирусник сообщил, что найдет [COLOR=red][B]Rootkitdrv[/B].[B]GZ[/B][/COLOR] и он, якобы его обезвредил, но... при проверке системы SysProt были найдены руткиты:
System Root\system32\drivers\dump_atapi.sys ([COLOR=blue]moduel Base[/COLOR] [B]FDA0F000 [/B][COLOR=blue]module end [/COLOR][COLOR=black][B]EDA0F000[/B])[/COLOR]
[COLOR=black]и[/COLOR]
System Root\system32\Drivers\dump_WMILIB.SYS ([COLOR=blue]module Base [/COLOR][COLOR=black][B]F7BD000[/B][/COLOR]
[COLOR=blue]module [/COLOR][COLOR=black]end [B]F7B7F000 )[/B][/COLOR]
[B]Прошу и жду помощи.[/B]

1. Где virusinfo_syscure.zip?

2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\Drivers\SPTD9341.SYS','');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
- Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
[I]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log[/I]
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.

Все сделано по Вашим указаниям, [B]но файл virusinfo_syscure.zip не сформировался. Почему?... Не знаю. [/B]Были предприняты следующие шаги:
1. Был перезакачан AVZ и обновлена база данных.
2. После работы AVZ ,был произведен поиск по всему компьютеру (на всякий случай) - [B]файл не обнаружен[/B].
В папке [B]avz4 [/B]находятся следующие подпапки и файлы: [COLOR=blue]Base (думаю, не стоит перечислять все файлы находящиеся в папке); LOG (virusinfo_syscheck.html virusinfo_syscheck.xml virusinfo_syscheck.zip(я его посылаю); ярлык avz; avz.cnt; avz.exe; avz.hlp; version.txt [/COLOR]
У меня к Вам просьба. При выполнении скрипта был отключен райтер, [B]который не включался уже более месяца[/B] (на нем я слушаю [B]записаные мной лично [/B]музыкальный файлы). Проблемы начались дней 5-6 назад, а райтер(еще раз повторюсь) [B]не включался более месяца[/B] (некогда было музыку слушать).
В результате на моем компьютере найдено неопознанное оборудование.
Я понимаю, что это не суть столь важно, но у меня к Вам просьба - восстановите, пожалуйста, реестр, чтобы мой райтер был снова опознан системой, [I]хотя бы в конце нашего сотрудничества.[/I]
[B]P/S[/B] На всякий случай, протокол, [B]пестрящий "красным" [/B], работы AVZ был переписан в текстовый блокнот ([B]Выдержка из протокола[/B]:
[COLOR="Blue"]1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07C020)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000[/COLOR].)
Если он Вам пригодится, могу прислать.
[COLOR="Blue"]Компьютер перезагружается не менее 7 минут.[/COLOR]

Где карантин?

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Его Вы также не обнаружили?

[B]Пожалуйста[/B], прочтите мое сообщение. Я описала ситуацию и результаты работы AVZ как можно подробнее. :dash3:
Может попробовать еще раз выполнить все с начала?

Спасибо.

Найдите с помощью АВЗ (Сервис - Поиск файлов на диске) вот этот файл C:\WINDOWS\System32\Drivers\SPTD9341.SYS, добавьте его в карантин и закачайте по красной ссылке вверху страницы

Нашла с помощью поиска. Но АВЗ его почему-то не хочет копировать. Наверное я что-то не так делаю!?
Сервис - Поиск файла. Появляется новое окно. Ввожу имя файла. Нажимаю Пуск. Программа АВЗ ничего не делает. Насколько я понимаю в окне файл должен появиться искомый файл и я должна нажать "Копировать отмеченный файл в карантин". Но никакого "движения" на копмьютере в течение 2-3 минут не происходит.

Вот такой лог сделайте [url]http://virusinfo.info/showthread.php?t=40118[/url]

Пересылаю затребованный файл. :385:
Имя log-файла не вводилось в предназначенное окно с клавиатуры, а [B]только [/B] из буфера обмена. [B]Почему?[/B]

Спасибо.

Лог gmer чист.

Ничего вредоносного в логах не обнаружено.

Подскажите, пожалуйста, что делать дальше?
[B][COLOR=blue]Возможно Вам поможет информация из листинга антивирусника:[/COLOR][/B]
08.10.2009 23:06
[SIZE=2]Windows Live OneCare найдены вредные или потенциально нежелательного программного обеспечения на компьютер[/SIZE]
[SIZE=2]Угроза Имя:[/SIZE][SIZE=2]VirTool: WinNT / Rootkitdrv.GZ[/SIZE]
[SIZE=2]Обнаружение [/SIZE][SIZE=2]Дата и время:[/SIZE][SIZE=2]08.10.2009 23:06[/SIZE]
[SIZE=2]Имя файла:[/SIZE][SIZE=2]C: \ WINDOWS \ System32 \ Drivers \ utm4mje1.sys[/SIZE]
[SIZE=2]Серьезность угрозы:[/SIZE][SIZE=2]Severe[/SIZE]
[SIZE=2]Угроза [/SIZE][SIZE=2]Категория:[/SIZE][SIZE=2]Tool[/SIZE]
[SIZE=2]Вирусов и шпионских программ мониторинга найдены потенциально нежелательного программного обеспечения:[/SIZE][SIZE=2](ANTIVIRUS_ONACCESS)[/SIZE][SIZE=2]Угроза [/SIZE][SIZE=2]Статус:[/SIZE][SIZE=2]Удален [/SIZE]

[SIZE=2]08.10.2009 23:06[/SIZE]
[SIZE=2]Windows Live OneCare найдены вредные или потенциально нежелательного программного обеспечения на компьютер[/SIZE]
[SIZE=2]Угроза [/SIZE][SIZE=2]Имя:[/SIZE][SIZE=2]VirTool: WinNT / Rootkitdrv.GZ[/SIZE]
[SIZE=2]Обнаружение [/SIZE][SIZE=2]Дата и время:[/SIZE][SIZE=2]08.10.2009 23:06[/SIZE]
[SIZE=2]Имя файла:[/SIZE][SIZE=2]HKLM \ SYSTEM \ CurrentControlSet \ Services \ utm4mje1[/SIZE]
[SIZE=2]Серьезность угрозы:[/SIZE][SIZE=2]Severe[/SIZE]
[SIZE=2]Угроза [/SIZE][SIZE=2]Категория:[/SIZE][SIZE=2]Tool[/SIZE][SIZE=2]Вирусов и шпионских программ мониторинга найдены потенциально нежелательного программного обеспечения:[/SIZE][SIZE=2](ANTIVIRUS_ONACCESS)[/SIZE]
[SIZE=2]Угроза[/SIZE][SIZE=2]Статус:[/SIZE] [SIZE=2]Удален[/SIZE]


Но...[B], несмотря на это сообщение, [/B]во время работы АВЗ, антивирусник каждый раз сообщает, что найден Rootkitdrv.GZ и [B]каждый раз его удаляет. :dash1: [/B]
[COLOR="Blue"][B]Может остались следы руткита? Если "да", то как их удалить?[/B][/COLOR]

Спасибо.

[QUOTE='ikarf;483677']во время работы АВЗ, антивирусник каждый раз сообщает, что найден Rootkitdrv.GZ и каждый раз его удаляет.[/QUOTE]
А в правилах написано, что при работе AVZ свой антивирусник надо [B]выключать[/B], дабы он не мешал процессу и не удалял драйверы AVZ, полагая, что это руткиты...

[QUOTE=Bratez;483685]А в правилах написано, что при работе AVZ свой антивирусник надо [B]выключать[/B], дабы он не мешал процессу и не удалял драйверы AVZ, полагая, что это руткиты...[/QUOTE]

Но это происходит [B]только в том случае, [/B]когда я проверяла компьютер АВЗ по подозрению на непонятные неполадки[B]. Когда я работаю с АВЗ[/B], антивирусник, [B]естественно[/B], мной отключается.

Сообщение SysProt
Modul name [COLOR=red]\System Root\System32\Drivers\dump_atapi.sys [/COLOR]
[COLOR=black][COLOR=black]Module Base[/COLOR] [/COLOR][COLOR=red]ED9BC000 [/COLOR][COLOR=black]Module End [/COLOR][COLOR=red]ED4D4000[/COLOR]
[COLOR=black]Hiden [/COLOR][COLOR=red]Yes[/COLOR]

Modul name [COLOR=red]\System Root\System32\Drivers\dump_WMILIB.SYS[/COLOR]
Module Base [COLOR=red]F7B73000 [COLOR=#000000]Module End [/COLOR]F7B75000[/COLOR]
Hiden [COLOR=#ff0000]Yes[/COLOR]

[COLOR=black][COLOR=blue]Добавилась еще одна запись, которой раньше не было[/COLOR]:[/COLOR]

Modul [COLOR=red][COLOR=black]name[/COLOR] \??\DOCUME~1\IRINA\LOCALS~1\Temp\fwkirfod.sys[/COLOR]
[COLOR=red][COLOR=black]Service name [/COLOR]fwkirfod[/COLOR]
Module Base [COLOR=red]BAA31000 [COLOR=black]Module End [/COLOR][/COLOR][COLOR=red]BAA47000[/COLOR]
Hiden [COLOR=#ff0000]Yes[/COLOR]

Могу прислать log SysProt.

[COLOR="Blue"][B]Почему изменились адреса расположения ? Ведь на восстановлении системы стоит запрет.[/B][/COLOR]

Спасибо.

Уважаемый пользователь!
Я Вам сказал, что в логах ничего вредоносного не видно. Все драйвера и все записи, которые вы увидели - это нормально. Новые драйвера возникли в результате сканирования и не являются вредоносными.
Чтобы удалить всё новое, удалите установленную программу GMER. Удалите AVZ, для этого выполните скрипт:
[CODE]begin
ExecuteStdScr(6); {удаление всех драйверов и ключей AVZ}
RebootWindows(false);
end.[/CODE]

Система перезагрузиться, после этого удалите папку AVZ.

Ничего больше присылать не нужно, тему можно закрыть, поскольку ничего у Вас вредоносного нет.

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

В ответ на Ваш вопрос, направленный мне в ПМ: зайдите с помощью Internet Explorer на страницу [url]http://windowsupdate.microsoft.com/[/url]
На все запросы - соглашайтесь. В итоге, обновление должно работать.
Все выполненные скрипты в этой ветке ничего не изменяли в Вашей системе, потому указанная ошибка не вызвана работой скриптов.

[B]Спасибо[/B]!

За быстрый ответ. Но... Попробовала зайти по указанному адресу (моя домашняя страница для Update) все продолжается по-старому. До этих перепетий ничего подобного [B]никогда[/B] [B]не[/B] [B]было[/B].
Что мне делать? Если Вас это не затруднит, помогите.:help:
Спасибо.

Укажите в ветке дословно какую ошибку и на каком этапе показывает.

Обратилась на сайт Microsoft [URL]http://support.microsoft.com/kb/245142/ru[/URL]

При попытке восстановить Центр обновлений [FONT=Arial][SIZE=2][FONT=Arial][SIZE=2]получила сообщение :[/SIZE][/FONT][/SIZE][/FONT]
[FONT=Arial][/FONT]
[FONT=Arial][SIZE=2][SIZE=2]
[SIZE=2][FONT=Arial][COLOR=blue]Ошибка при вызове [/COLOR][/FONT][/SIZE][FONT=Arial][FONT=Arial][SIZE=2][FONT=Arial][SIZE=2][COLOR=blue]LoadLibrary (c:\windows\system\wuv3is.dll) - [/COLOR][/SIZE][/FONT][/SIZE][/FONT][SIZE=2][COLOR=blue]не найден указанный модуль.[/COLOR][/SIZE]

[SIZE=2][COLOR=black]Просмотрела содержимое папки Windows Update - [B]она пуста.[/B][/COLOR][/SIZE]


[SIZE=2][COLOR=black]При попытке переустановить Центра обновления [URL]http://support.microsoft.com/kb/943144[/URL][/COLOR][/SIZE]

[SIZE=2]получила сообщение - все прошло успешно, однако, ситуация та же.[/SIZE]


[SIZE=2]Райтер до сих пор не определен системой. Это произошло сразу после выполнения первого скрипта. Это я могу сказать точно. Так же могу сказать, что за день до обращения на форум, обращалась в Центр обновления (хотя компьютер был уже,скорее всего, заражен) - проверка на выборочные обновления прошла нормально. :scratch_one-s_head:[/SIZE]
[/FONT][/SIZE][/SIZE][/FONT]

[B]ikarf[/B], может хватит заниматься самодеятельностью? Хотите угробить систему? Почитайте внимательно, к каким системам применима та статья, которую Вы привели:
[QUOTE]Информация в данной статье относится к следующим продуктам.

* Microsoft Windows Update на следующих платформах
o Microsoft Windows[B] NT 4.0[/B]
o Microsoft Windows [B]95[/B][/QUOTE]

А у Вас какая?
Давайте так: или Вы выполняете то, что Вас просят, или занимайтесь восстановлением системы самостоятельно.

Я Вам сказал:
[QUOTE]зайдите с помощью Internet Explorer на страницу [url]http://windowsupdate.microsoft.com/[/url]
На все запросы - соглашайтесь. В итоге, обновление должно работать.[/QUOTE]
[QUOTE]Укажите в ветке дословно какую ошибку и на каком этапе показывает. [/QUOTE]

Где всё это? При чём здесь восстановление Центра обновления?

По этому адресу я попадаю на свою домашнюю страницу обновлений.
Появляются две кнопки: быстрое обновление и выборочное. Нажимаю на любую из них, появляется сообщения:

[COLOR=blue]Файлы, необходимые для работы функции Windows Update, не зарегистрированы или не установлены на данном компьютере. Для продолжения:

[/COLOR][COLOR=blue]Зарегистрировать или переустановить файлы [B](рекомендуется)[/B]
Выяснить возможные шаги, необходимые для решения проблемы
[/COLOR]
[COLOR=blue][COLOR=black]Нажимаю на продолжить (рекомендуется). Появляется:[/COLOR][/COLOR]
[COLOR=blue][COLOR=#000000][/COLOR][/COLOR]

[COLOR=blue][B][SIZE=2]403 - Forbidden: Access is denied.[/SIZE][/B]

[B][SIZE=2]You do not have permission to view this directory or page using the credentials that you supplied[/SIZE][/B]

[COLOR=black]Весь протокол.[/COLOR]
[COLOR=#000000][/COLOR]

[COLOR=#000000]Спасибо.[/COLOR]

[/COLOR]