Не запускаются АнтиRootKit

[Olejka]

Доброго времени суток.
На ноутбуке прктически с самого начала его эксплуатации не запускалась служба обновления Защитника.
Натолкнулся на ваш сайт и решил провериться описанными утилитами. Нашел подозрительные вещи, но в отсутсвии опыта не понял ничего. Но появились серьезные подозрения на RootKit.

Пробовал вчера запустить несколько программ разных производителей, предназначенных к нахождению и удалению RootKit и столкнулся с ситуацией, когда запускались только те, которые могут только сканировать комп. Но могущие лечить не запускались в принципе.
Сканировщики обнаружили много чего в драйверах и Реестре.

Логи AVZ и HiJackThis прилагаю.

[olejah]

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Users\05AC~1\AppData\Local\Temp\WOQYOC.exe','');
 QuarantineFile('C:\Users\05AC~1\AppData\Local\Temp\HUZKQNLBT.exe','');  
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

[Olejka]

Сделано.
Скрипты вополнил, файл прислал по ссылке.

Добавлено через 6 часов 2 минуты

Эта информация необходима?

Файл сохранён как 100929_113640_quarantine_4ca2ec88094f1.zip
Размер файла 847008
MD5 a5b36c64532f2f8e93a1078f9bb1aa35

[olejah]

Сделайте лог полного сканирования МВАМ

[Olejka]

Готово.

[olejah]

C:\Users\Олег\AppData\Roaming\Thinstall\Adobe Dreamweaver CS3\800000fbe00002i\Dreamweaver.exe - Знаком Вам этот файл?

[Olejka]

Прикол в том, что несколько дней назад я чистил комп и удалял весь Адоб и Дримвюер в том числе...

Добавлено через 7 минут

Кстати говоря, у этого файла весьма странная дата создания. Адоб я ставил гораздо раньше этой даты...

Похоже там что-то прописалось...

Добавлено через 1 минуту

Да и размер как мне кажется весьма маловат для реального Дримвьюеровского экзешника - всего 60 кБ.

[olejah]

Если не нужен - удалите его в МВАМ и повторите лог.

[Olejka]

Удалил. новый лог Мальвары в аттаче.

[olejah]

Чисто. Что с проблемой?

[Olejka]

Защитник Виндовс (defender) так и не запускается... Выдает ошибку...
Может быть это изначальный баг системы?...

Сейчас посмотрю на системные требования АнтиРутКита, может он и не должен на Висте пускаться.. (Это меня сегодня в метро осенило)

Но сейчас у меня возник вопрос.

В логах Хайджека у меня вызывает подозрение три записи:
-----------------------------------
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Users\05AC~1\AppData\Local\Temp\RarSFX0\sp_rsse r.exe
O23 - Service: WOQYOC - Sysinternals - www_точка_sysinternals_точка_com - C:\Users\05AC~1\AppData\Local\Temp\WOQYOC.exe
O23 - Service: YTF - Sysinternals - www_точка_sysinternals_точка_com - C:\Users\05AC~1\AppData\Local\Temp\YTF.exe
-----------------------------------

Подозрение на следующих основаниях:

Spyware Terminator - не помню, чтоб когда либо ставил на ноутбук. Но специально вчера пересмотрел Панель удаления программ и панель запуска программ. Нет ничего похожего...

www_точка_sysinternals_точка_com - очень странный сайт, тут же пытается перенаправить куда-то. Заходить не стал, пытался проверить онлайн сервисом (который второпях нашел по поиску) - сказали, что сайт вообще не доступен.

[olejah]

www_точка_sysinternals_точка_com

http://ru.wikipedia.org/wiki/Sysinternals

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\Users\05AC~1\AppData\Local\Temp\RarSFX0\sp_rsse r.exe','');    
 BC_ImportAll;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
 end.

Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

[Olejka]

Со вторым подозрением разобрался... Там все чисто должно быть. Это как раз от того самого Антируткита для Виндовс...

С первым сейчас выполню ваши рекомендации.

Добавлено через 18 минут

Сделано.
Файл отправлен по ссылке.
------
ой, только я его переименновал в quarantine.zip...

[olejah]

C:\Users\05AC~1\AppData\Local\Temp\RarSFX0\sp_rsse r.exe - судя по всему, этого файла в системе нет, осталась ссылка на него и она видна в логе HiJackThis, можно пофиксить, если хотите.

[Olejka]

ОК.

Спасибо за помощь!

Добавлено через 1 минуту

Да, я так понял, что в первых двух файлах ничего зловредительского не обнаружено. Так?

[olejah]

Окончательный вердикт им не поставлен, но - по первым данным - чистые + имеют копирайты -

Copyright (C) 2005-2006 Bryce Cogswell and Mark Russinovich 1.70

[Olejka]

Русинович - это как раз разработчик программ с сайта www_точка_sysinternals_точка_com...

Так что похоже, была ложная тревога...

Это видать паранойя обыкновенная... После того, как я на домашнем много чего нашел.
Как раз собираюсь в новой теме просить совета.

Добавлено через 10 минут

О-па. А C:\Users\05AC~1\AppData\Local\Temp\RarSFX0\sp_rsse r.exe в Хайджеке не фиксится.
говорит, что удалил. Но при повторном сканировании снова определяет...

[olejah]

Поищите так - программа АВЗ - Сервис - Поиск файлов на диске - Отметьте галкой место его расположения и в поле маска задайте sp_rsser.exe, если найдёте - отметьте галкой и скопируйте в карантин, карантин залейте по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

[Olejka]

Файл найден, но вот не могу найти, куда карантин сохранился...
В каталоге АВЗ только два предыдущих.

Добавлено через 5 минут

Я его заархивировал стандартными средствами. Не знаю, верно ли сделал.

А может быть его в АВЗ попробовать и удалить? (Из режима поиска на диске)

[olejah]

Если он Вам не нужен, попробуйте грохнуть его отложенным удалением - Программа АВЗ - Файл - Отложенное удаление файла. После этого проверьте его наличие.