Не могу поймать руткит.

Подцепил очень интересный вирус, маскирующийся по руткит-технологии.
КЛИНИКА: комп очень сильно тормозит при любых обращениях к файлам на жёстком диске. При этом в диспечере задач загрузка процессора 50-60%, а сумма загрузки всеми процессами (согласно списку процессов) менее 20%.В системе явно присутствует скрытый процесс!!!

Антивирусы KAV7 и NOD32 ничего не находят при самом глубоком анализе.
При сканировании системы утилитой AVZ, определяется перехват всех обращений к файловой системе, при этом перехватчик не определяется.(фрагмент лога:"\FileSystem\ntfs[IRP_MJ_CREATE] = 89D031F8 -> перехватчик не определен \FileSystem\ntfs[IRP_MJ_CLOSE] = 89D031F8 -> перехватчик не определен") всего 16 функций!
Также перехватывается часть функций библиотек kernel32.dll и user32.dll.

P.S.: При установке чистой винды на другой раздел и сканировании всего харда из неё антивирусы тоже ничего не находят.

[QUOTE=Doc18;233248]Подцепил очень интересный вирус, маскирующийся по руткит-технологии. [/QUOTE]Судя по логам - никаких руткитов на машине нет. КАВ с Аутпостом вместе давно у Вас стоят? КАВ - какая сборка?

КАВ 7.0.1.325 скачал и поставил сегодня.
обычно использую НОД32

А если нет руткитов, то почему в диспечере задач загрузка процессора 50-60%, а сумма загрузки всеми процессами (согласно списку процессов) менее 20% и комп очень сильно тормозит при любых обращениях к файлам на жёстком диске.

РЕинстал винды проблему решает. У меня это уже было в феврале. Тогда искал неделю - не нашёл. Переустановил винду. Недавно началось опять. Один вирус удалил, работает быстрее, но, всё равно, не так.

И кто перехватывает обращения к файловой системе?

автообновление включить не пробовали ?
наверно с пол сотни критических обновлений не установлено ... ?

[QUOTE=V_Bond;233263]автообновление включить не пробовали ?
наверно с пол сотни критических обновлений не установлено ... ?[/QUOTE]Автообновление чего? Винды? А если у меня не лицензия...

ну и будете переустанавливать раз в две недели ... все из-за критических уязвимостей и никакие антивирусы -фаерволы не помогут ...

Деинсталлируйте BitAccelerator через "Панель управления".

На пиратскую Винду критические обновления ставятся при включенном автоматическом апдейте, только когда автоматически скачается 3-й сервис пак, Винда запросит активацию ;)

Всё сделал. Ничего не изменилось.
Проц грузится на 50% на простое...
Касперский регулярно вылетает с ошибками. Думаете это конфликт с аутпостом?

За совет по обновлениям спасибо.

аутпост с касперским можно подружить ... на сайтай обоих программ есть рецепты
например [url]http://support.kaspersky.ru/faq/?qid=180593972[/url] ..

Снёс аутпост. После ребута тормоза остались и касперский снова вылетел. Всё-таки я думаю, что это вирус...

режим работы винчестера какой ?

[QUOTE=V_Bond;233367]режим работы винчестера какой ?[/QUOTE]
Не уверен, что понял правильно...

Обычный домашний комп, не сервер. Сегодня сижу только в инете. Никаких тяжёлых программ. При этом индикатор загрузки IDE-каналла почти всегда горит на постоянку(а должен редко подмигивать же...). Дефрагментацию делал недвно. Свободное место есть.

P.S. С момента последнего поста каспер ещё 2 раза вылетел.

уже 3...

В диспетчере устройств найдите первичный канал IDE (полагаю, диск у вас именно на первичном шлейфе), откройте свойства, там на одной из вкладок будут установки режима передачи. Интересует текущий режим.

Загрузка процессора после сноса Outpost нормализовалась или по-прежнему 50%?

загрузка процессора не изменилась, жесткого диска тоже.

Режим передачи:"DMA, если доступно"
Текущий режим: "PIO"

Кстати... Как первичный, так и вторичный каналлы в диспечере в 2-х экземплярах.
В одном из них отсутствует вкладка "ресурсы"... Может это не в тему... просто уже обращаю внимание на всё мне непонятное....

КАВ регулярно вылетает, на винте уже около 2Гб дампов.
Интересно, что как только запускаешь проверку - вылетает меньше чем через минуту...
У меня такое было года 1.5-2 назад или с 5, или с 6 версией. Тогда был вирус.
Помог тогда AntiVir... Может его опять попробовать...

[QUOTE=Doc18;233385]Режим передачи:"DMA, если доступно"
Текущий режим: "PIO"

Кстати... Как первичный, так и вторичный каналлы в диспечере в 2-х экземплярах.
В одном из них отсутствует вкладка "ресурсы"... Может это не в тему... просто уже обращаю внимание на всё мне непонятное....[/QUOTE]
Правильно обращаете. Может, грохнуть контроллер и поставить драйвер чипсета заново?
Только не спешите ломать, это я в порядке бреда. Подождём советов от более знающих.

Я на то, что их по 2 обратил внимание при первой установке системы. После этого 1 раз переустанавливал (та же проблема была, что сейчас)... Так по 2 и осталось. Попробовать, конечно, можно, но думаю не в контролёре дело. Из-за него Каспер вылетать так врядли будет.

[QUOTE=Doc18;233385]
Режим передачи:"DMA, если доступно"
Текущий режим: "PIO"
[/QUOTE]
вот корень ваших всех проблем ....
- удалите в диспетчере контнтроллеры ...
- перегрузитесь и вставте диск с драйверами чипсета ...

Спасибо! Всё работает отлично. Теперь стоит режим "Ultra DMA 2".
Касперского на форуме Kaspersky Lab Forum мне посоветовали переустановить, т.к. он часто не дружит с Аутпостом. переустановил. пока не вылетел. точно станет ясно после окончания полного сканирования

А из-за чего он мог измениться?

P.S. Пока искал решение проблемы основательно почистил систему и поймал 1 трояна...

[QUOTE=Doc18;233634]
А из-за чего он мог измениться?
[/QUOTE]
слетели или не были установлены драйвера контроллера ...