Неизвестный руткит???

Не могу определить источник заразы... Есть предположения на руткит.

Проблема с рабочим компом... Примерно месяц назад стали появляться вирусы и трояны на компе.. причем вирусы свежайшие на тот момент (их позже тока антивирусы стали определять) плюс разок было сообщение файрвола что процесс system полез в инет.
В общем победить руткит мне не удалось (какой то backdoor очевидно)
Переустановил систему пока не вылез снова в инет все работало...
Вчера выходил в интернет ненадолго (стоит Kaspersky Anti-Hacker ранее стоял Outpost) - сегодня вечером монитор Symantec`а обнаружил несколько (8 штук разнонаименнованных) вирусов W32.Rahack.H - эту ерунду я удалил - исследовал систему
1) avz не обнаружил перехватов (кроме klif и sptd - соответсвенно от AntiHacker и от Daemon Tools)
2) месяц назад делал md5 слепки файлов из system32 и system
- сверил - ни одна crc не изменилась только добавились новые - но все от Intel LANDesk и обновления Windows плюс некий издатель Lou maudio кажется (комп рабочий а пишу я из дома) но и это вроде как проекты от Microsoft (конкретно MS PowerToys)

Что мне делать?
1) Как проникает руткит?
2) есть ли он вообще ;-)))
3) завтра хочу загрузиться с диска XP пакет предустановки и проверить crc прямо с компактов и сравнить.. ведь если руткит и есть то так он найдется? я прав?
4) Я ищу тока в паках Windows System и System32 - этого достаточно?

Выполните правила - [URL]http://virusinfo.info/showthread.php?t=1235[/URL]

Добавляю файлы.

PS - может это уже паранойя? пока признаков заражения нет...

Может и паранойя :)
Два антивируса, которые друг друга не любят - Norton & Kasperskyi
По-моему, это круто.
От Касперского драйвера видны. Видимо, некоректно деинсталлирован.

по сути: подозрительного не видно, только fast.exe в автозапуске наводит на мысли. Плюс bgswitch.exe там же.
Да и еще, стартовая страница IE.

Касперский не стоит и не стоят
Драйвера что видны - это драйвера Касперски АнтиХакер, а он выполняет только роль файрвола.

Зы. А как мне могли попасть вирусы из первого поста.
Кто нить может дать комменты по открытым портам.
Удаленное управление RDP у меня разрешено

[quote=PavelA;101812]

по сути: подозрительного не видно, только fast.exe в автозапуске наводит на мысли. Плюс bgswitch.exe там же.
Да и еще, стартовая страница IE.[/quote]

fast и bgswitch - из пакета MS PowerToys
Стартовая прописана мною (ресурс интравеба)

Насчет антивирусов - был не прав, ну никак не ожидал что знаменитый klif.sys живет и в АнтиХакере.
Вопросик - логи делались при запущенном IE? Если не был запущен, то логи придется повторить.

Да был запущен.. кажется.. первый лог точно по крайней мере

Тишина....
То что AVZ не выявил признаков руткита это гарантия того что его нет?

Несколько раз читал Ваш пост, но так и не понял чего Вы боитесь и почему... У Вас на компе храниться особая секретная информация?

Давайте попорядку:
1. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ep1k_certd.exe','');
QuarantineFile('C:\WINDOWS\system32\bgswitch.exe','');
QuarantineFile('V2IMount.sys','');
RebootWindows(true);
end.[/CODE]
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".

2. Какие у Вас проблемы сейчас? Что именно Вас беспокоит? Что заставило обратиться к нам? Зачем делали md5 слепки файлов из system32 и system?

3. [QUOTE]То что AVZ не выявил признаков руткита это гарантия того что его нет?[/QUOTE]Ни кто Вам не даст такую гарантию...

[QUOTE=MaXim;101927]Несколько раз читал Ваш пост, но так и не понял чего Вы боитесь и почему... У Вас на компе храниться особая секретная информация?

Давайте попорядку:
1. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ep1k_certd.exe','');
QuarantineFile('C:\WINDOWS\system32\bgswitch.exe','');
QuarantineFile('V2IMount.sys','');
RebootWindows(true);
end.[/CODE]
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".

2. Какие у Вас проблемы сейчас? Что именно Вас беспокоит? Что заставило обратиться к нам? Зачем делали md5 слепки файлов из system32 и system?

3. Ни кто Вам не даст такую гарантию...[/QUOTE]

1. Комп рабочий и там действительно хранится важная информация.
2. первый файлик утилита от Feitian для работы со смарт-картами
2а 2 и 3 файлик гляну более пристально (сейчас пишу из дома, доступа к рабочему нет)
3. Хотелось бы иметь гарантию, пусть через промежуточный комп в роли аппаратного файрвола.. (разумеется у меня хватит ума не запускать файлик типа run_me.exe ))) )

[QUOTE=Voland;102390]1. Комп рабочий и там действительно хранится важная информация.
2. первый файлик утилита от Feitian для работы со смарт-картами
2а 2 и 3 файлик гляну более пристально (сейчас пишу из дома, доступа к рабочему нет)
3. Хотелось бы иметь гарантию, пусть через промежуточный комп в роли аппаратного файрвола.. (разумеется у меня хватит ума не запускать файлик типа run_me.exe ))) )[/QUOTE]

4. Примерно месяц назад на комп проник троян-бэкдор не идентифицированный мной (идентифицировались тока следы - другие трояны и сетевая активность) - всё это при работающем файрволе... и антивирусе плюс заплатки стояли (до уровня неофициального SP3)