Руткит или нет?!...

Грузится из "%systemroot%\system32\drivers\*.sys" При каждой загрузке меняется имя.Виден только AVG Anti-Rootkit Free и в утилите autoruns(снимается с автозагрузки,не удаляется).AVG Anti-Rootkit Free удаляет его но при перезагрузке он снова появляется...
Данные из Autoruns (auxry09oIDE/ATAPI Port Driver Microsoft Corporation c:\windows\system32\drivers\auxry09o.sys)
При попытке отправить файл через форму на сайте [url]http://z-oleg.com/secur/avz/uploadvir.php[/url] возникает ошибка "ФАЙЛ НУЛЕВОГО РАЗМЕРА"
В общем нужна помощь по выявлению и выдворению...

Восстановление системы: включено -- надо отключить.

В момент сбора логов Куреит не был запущен?
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\connector.cmd','');
QuarantineFile('C:\WINDOWS\Temp\SIVIK.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

прислать по правилам карантин.

насчет куреита - нет не был.
насчет [COLOR="Red"]connector.cmd[/COLOR] это лично мной написанный батник для подключения сет.дисков, копирует архивы баз данных с сервера и добавляет запись в хост файл.
так что за его содержание могу ручаться.

Ссори совсем забыл прикрепить карантин...

прислать по [SIZE="4"]правилам[/SIZE] карантин.

Отослал по правилам с шапки...
Больше данная страница недоступна, дошел ли файл карантина?

[QUOTE=peps;455869]
Больше данная страница недоступна[/QUOTE]А она Вам больше не интересна - Вы же сообщение поличили: Файл загружен, спасибо?
C:\WINDOWS\system32\connector.cmd - чистый , как Вы и говорили
C:\WINDOWS\Temp\SIVIK.exe - в карантин не попал, попробуйте поискать и прислать

Дело в том что в темпе был судя по логам
А в connector.cmd задано очищать темп :(
Чуть позже отправлю новые логи по сканированию...

вот новые логи сканирования

А кто логи запрашивал?
[QUOTE]Если Вы отказываетесь выполнять указания хелперов, или делаете все по-своему, не удивляйтесь тому, что Ваша тема может быть закрыта.[/QUOTE]
[QUOTE=Rene-gad;455924]
C:\WINDOWS\Temp\SIVIK.exe - в карантин не попал, попробуйте поискать и прислать[/QUOTE]

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL].

Понял больше не буду торопиться
Вот лог gmer
То что меня интересует в этом логе с именем aczikalg.SYS

[QUOTE=peps;456311]
То что меня интересует в этом логе с именем aczikalg.SYS[/QUOTE]это скорее всего драйвер от анхукера или что-то в этом роде.
Пришлите файл по правилам (хотя я думаю, что Вы его уже не найдете ;))
- Сделайте лог [URL="http://www.malwarebytes.org/mbam-download.php"]MBAM[/URL].

[QUOTE=peps;456311]
То что меня интересует в этом логе с именем aczikalg.SYS[/QUOTE]
Гмером через вкладку файл закарантиньте его из папки [CODE]Windows\System32\Drivers\[/CODE] и пришлите его по правилам.

[QUOTE=Alex_Goodwin;456477]Гмером через вкладку файл закарантиньте его из папки [CODE]Windows\System32\Drivers\[/CODE] и пришлите его по правилам.[/QUOTE]

[QUOTE=Rene-gad;456459]это скорее всего драйвер от анхукера или что-то в этом роде.
Пришлите файл по правилам (хотя я думаю, что Вы его уже не найдете ;))
- Сделайте лог [URL="http://www.malwarebytes.org/mbam-download.php"]MBAM[/URL].[/QUOTE]
2 Alex_Goodwin я уже пытался до этого, не могу сделать так как не вижу его :( ...
2 Rene-gad какой именно лог не понял по этому пришлю 2 - малваре давно стоит и ничего не находит

[QUOTE=peps;456511]
2 Rene-gad какой именно лог не понял [/QUOTE]3 minute(s), 21 second(s) - нужно полное сканировние провести, а не быстрое

Сделал, посмотрите

Самое правильное вот это:
D:\Downloads\Программы\RecoverMyFiles-Setup.exe (Rogue.Antivirus) -> Quarantined and deleted successfully.

Остальные могут оказаться фалсами, пакерами и прочей шелухой.

Более ничего не увидел интересного.

Это, так сказать бывшая файловая свалка локалки, там много чего может быть :)
Прогу не ставил и не собирался...

Дорогие хелперы вы хотите сказать, что этот файл не опасен ?
Просто тема перенеса в излечено, хотя воз и ныне там,
При каждой загрузке файл меняет имя и грузится

Можно сделать так.
AVZ - Сервис - Модули пространства ядра - найти этот модуль и снять с него дамп.
Дамп прислать сюда для анализа.

З.Ы. я склоняюсь что это от Алкоголя. Попробовать его деинсталлировать и посмотреть на поведение системы.

В данный момент у файла название azskge59.sys посмотрите, пожалуйста, его дамп...
чуть позже удалю alcohol и гляну пропал или нет просто в данный момент без него не могу.

IDE/ATAPI Port Driver Microsoft Corporation имеет вид a*******.sys
Имя меняется при каждой перезагрузке

2 thyrex
Да именно так, хотя насчет первой буквы [QUOTE][COLOR="Red"]a[/COLOR]*******.sys[/QUOTE] не уверен :?
Скорее всего просто не замечал...

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 13 минут[/I][/B][/color][/size]

[QUOTE=PavelA;457689]
З.Ы. я склоняюсь что это от Алкоголя. Попробовать его деинсталлировать и посмотреть на поведение системы.[/QUOTE]

[QUOTE=thyrex;457844]IDE/ATAPI Port Driver Microsoft Corporation имеет вид a*******.sys
Имя меняется при каждой перезагрузке[/QUOTE]

2 pavel да действительно это эмулятор

2 thyrex точно файлик все время имеет вид a*******.sys

Все спасибо хелперам
Теперь точно проблемка решена

Дамп заряди как карантин. Служба обработки поймет.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]