Подозрение на руткит

Добрый день!
Nod32 поймал C:\WINDOWS\System32\drivers\Winfl64.sys - Win32/Wigon.CK троян.
По горячим следам был обнаружен в автозагрузке ~.exe (соответственно из автозагрузки отключен)
avz его определил как C:\WINDOWS\system32\~.exe >>> подозрение на Trojan-Downloader.Win32.Mutant.axi и благополучно удалил.
При проверке ничего вредоносного больше не обнаруживается, но беспокоит файл C:\WINDOWS\system32\Drivers\sptd.sys - avz подозревает в нем руткит.
Посмотрите, пожалуйста, логи

[B]Нарушения правил при сборе информации для раздела Помогите.

[COLOR="Red"]- Не выключен установленный антивирус
- Не закрыты все программы[/COLOR]

Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.[/B]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SetAVZGuardStatus(True);
BC_QrFile('C:\DOCUME~1\lemurz9\LOCALS~1\Temp\cportclm.sys');
QuarantineFile('C:\DOCUME~1\lemurz9\LOCALS~1\Temp\cportclm.sys','');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
-Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).

[QUOTE=lemurz9;275360]
При проверке ничего вредоносного больше не обнаруживается, но беспокоит файл C:\WINDOWS\system32\Drivers\sptd.sys - avz подозревает в нем руткит.
[/QUOTE]
Это драйвер от Демона. Тут все ОК.

Странно, я ведь отключала антивирус, а из программ были открыты только avz и IE.
Наверное надо было глянуть на запущенные процессы, а я ограничилась закрыванием окон и правого трея.
Извините, если получилось не так, как надо...
А как бы остатки от демона подчистить, не подскажете?
Я его давно уже удалила вроде как...

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

Скрипт выполнен - карантин пуст:(

Повторите логи, плиз.
Драйвер демона тоже попытаемся удалить.

Вот новые логи

up

[QUOTE=lemurz9;275573]up[/QUOTE]
Ночью мы спим. А Вы?

Поищите и пришлите по правилам приложения 2 и 3 файл
[CODE]C:\Documents and settings\lemurz9\Local Settings\Temp\cportclm.sys[/CODE]

И мы спим.
подняла тему в 10 утра вроде
файл этот я искала вчера- безрезультатно.
попробую вечером еще раз (поскольку лечим домашний комп, а сейчас я на работе)
Если не находится с помощью avz, чем еще поискать можно?

[QUOTE=lemurz9;275622]
Если не находится с помощью avz, чем еще поискать можно?[/QUOTE]TotalCommander - программа платная, но есть триалка на 30 дней - надеюсь, что нам этого будет достаточно 8)
Volkov Commander - тоже триалка, но проект остановлен и денег никто не требует.
Ссылки ищите [url]www.google.ru[/url] :)

FreeCommander - денег не требует, хотя и не отказывается :)
[url]www.freecommander.com[/url]

Нет, Вы меня не поняли
TotalCommander - это и так мой повседневный "проводник"...
Искомого файла в папке нет (галка "показывать скрытые/системные файлы" включена)
В этой папке только несколько последних файлов .tmp и все (регулярно очищаю ее)
Искала файл также с помощью avz-не находит.
Поэтому и спрашиваю - чем еще поискать, раз его видно в логах?

[QUOTE=lemurz9;275639]
Поэтому и спрашиваю - чем еще поискать, раз его видно в логах?[/QUOTE]Попробуйте Volkov Commander. Прога работает на ДОС-уровне.

А если AVZ с включённым антируткитом?

спасибо, попробую вечером
Rene-gad
Если найдется свободная минутка - напишите, пожалуйста, скрип для подчистки "хвостов" от демон тулз

[QUOTE=lemurz9;275679]напишите, пожалуйста, скрип для подчистки "хвостов" от демон тулз[/QUOTE]Ловите[CODE]begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\Drivers\sptd.sys');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

Я тут некоторое время отсутствовала, хотелось бы продолжить лечение...
Обнаружить файл C:\Documents and settings\lemurz9\Local Settings\Temp\cportclm.sys не удалось никаким способом:(
Загрузившись в безопасном режиме под учетной записью "администратор", переименовала а затем удалила эту папку Temp в своей учетной записи и создала ее вновь. Следующий лог avz показал опять наличие в ней этого .sys файла.
К тому же за время моего отсутствия комп успели заразить трояном, одним из признаков которого является наличие WinCtrl32.dll в C\windows\system32...данный файл прописался в автозагрузку в реестре.
Может и еще чего появилось, вам как специалистам виднее.
Новые логи

WinCtrl32.dll- заразились как и остальными, потому что под админом гуляете ;)

WinCtrl32.dll- удлять ледяным мечём ;) [url]http://virusinfo.info/showthread.php?t=17228[/url]

антивирус только не забудь отключить, затем скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\lemurz9\LOCALS~1\Temp\cportclm.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\DOCUME~1\lemurz9\LOCALS~1\Temp\cportclm.sys');
BC_DeleteSvc('cportclm');
BC_Activate;
executerepair(6);
executerepair(8);
executerepair(9);
RebootWindows(true);
end.
[/code]

карантин по [url]http://virusinfo.info/upload_virus.php?tid=29065[/url] ;
новые логи сделать.

при запуске скрипта ошибка "BEGIN" expected в позиции 1:2
при проверке синтаксиса то же самое...
извиняюсь, скопировала еще раз - все нормально:)

интересующие нас файлы вроде бы удалились...
winctrl32.dll в папке нет, но в реестре он по прежнему в автозапуске...
как это понимать?
новые логи...

файлы в карантин не попали...

[QUOTE=lemurz9;284955]
winctrl32.dll в папке нет, но в реестре он по прежнему в автозапуске...
[/QUOTE]
В какой ветке реестра?
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/CODE]
Должен уйти ото всюду.

если верить avz, то
HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32, DLLName
такой строчки в hijack нет...