Rootkit как его побороть

Подозреваю что на компе Rootkit -постоянно расшаривается диск .
WinHex видит файлы не видимые проводником ,но помимо стандартных файлов NTFS есть и не стандартные
До этого
Пару недель назад нашел в корне Файл: C:\irdvxc.exe отослал на проверку
выявили модификация Backdoor.Win32.Rbot.bni добавили в базы .
Но вероятно Rootkit так и не удалился потому что диск расшаривался с некотрым постоянством -переодичность не определил

[URL="http://img162.imageshack.us/my.php?image=secureja5.jpg"]http://img162.imageshack.us/my.php?image=secureja5.jpg[/URL]

[URL="http://img236.imageshack.us/my.php?image=secure2cj4.jpg"]http://img236.imageshack.us/my.php?image=secure2cj4.jpg[/URL]

логи

Файлы, которые не видит проводник и видит WinHex - это норма. У NTFS тома есть ряд служебных невидимых файлов, их имена называются с $ (основные - $Boot и $MFT). На второй картинке виден файл, сохраненный из Инет (у RAR файла есть поток с данными об этом). Это не опасно ...
По поводу логов - пришлите для анализа файлы:
C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
C:\WINDOWS\system32\Drivers\vmm.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svchost.exe

[b]Зайцев Олег[/b]Спасибо за ответ
Файлы отослал кроме
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svchost.exe этот почему то ненашел .
Меня смутило прежде всего в невидимых файлах вот это

[URL=http://img216.imageshack.us/my.php?image=file1ov3.jpg][IMG]http://img216.imageshack.us/img216/2858/file1ov3.th.jpg[/IMG][/URL]
поэтому и забил тревогу причем не во всех директориях это есть и не ко всем файлам .

Также отослал crack[1].BY.ZXEvil.rar -но это из другой оперы -думаю что вирус потому что массовая рассылка на одном из форумов со ссылкой на rapidshare и предложением скачать это как обновление и тд и тп -AVP пока не определяет

[QUOTE=arc][b]Зайцев Олег[/b]Спасибо за ответ
Файлы отослал кроме
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svchost.exe этот почему то ненашел .
Меня смутило прежде всего в невидимых файлах вот это

[URL=http://img216.imageshack.us/my.php?image=file1ov3.jpg][IMG]http://img216.imageshack.us/img216/2858/file1ov3.th.jpg[/IMG][/URL]
поэтому и забил тревогу причем не во всех директориях это есть и не ко всем файлам .

Также отослал crack[1].BY.ZXEvil.rar -но это из другой оперы -думаю что вирус потому что массовая рассылка на одном из форумов со ссылкой на rapidshare и предложением скачать это как обновление и тд и тп -AVP пока не определяет[/QUOTE]
LOCALS~1\Temp\svchost.exe - скорее всего это зловред и он был убит AVP. Если файла нет, то необходимо удалить элемент автозапуска для него (через HijacThis или AVZ)
На картинке явно видны потоки "Zone.Identifier" - это как раз и есть та информация, о которой я писал выше - в этом потоке проводник делает пометку о том, что файл загружен из Инет с указанием зоны. А при запуске или открытии такого файла проводником он будет выводить матюгалиник "Данный файл загружен из иНтернет ...".

[B]Зайцев Олег[/B]
Спасибо огромное за просветление - теперь буду знать .
В автозапуске почистил непонятные или левые на мой взгляд ссылки .
шары дефолтовые отключил и поправил реестр .


А по поводу crack[1].BY.ZXEvil.rar напишите как будет результат :)