Руткит: как диагностировать и очистить?

[ariksu]

Недавно компьютер начал вываливаться в BSOD. Подозрение пало на руткиты, я прогнал AVZ и обнаружил:

1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=288, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 28
Маскировка процесса с PID=380, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 380)
...ещё куча процессов.

Kaspersky TDSSKiller мне помог обнаружить и удалить (неактивный?) TLD4 (что это именно TLD4 я понял из статьи http://resources.infosecinstitute.com/tdss4-part-2/), однако проблему обнаруженную AVZ это не поправило. GMER же обнаружил следующее:

.text a760yo7t.SYS 970DC000 12 Bytes [44, C8, 41, 83, EE, C6, 41, ...]
.text a760yo7t.SYS 970DC00D 9 Bytes [A7, 41, 83, 48, CB, 41, 83, ...] {CMPSD ; INC ECX; OR DWORD [EAX-0x35], 0x41; ADD DWORD [EAX], 0x0}
.text a760yo7t.SYS 970DC017 20 Bytes [00, DE, 07, 9A, 8B, E6, 05, ...]
.text a760yo7t.SYS 970DC02C 149 Bytes [00, 00, 00, 00, C0, 71, 48, ...]
.text a760yo7t.SYS 970DC0C3 8 Bytes [00, 00, 00, 00, 00, 00, 00, ...] {ADD [EAX], AL; ADD [EAX], AL; ADD [EAX], AL; ADD [EAX], AL}
########пропущено лишнее############
IAT \SystemRoot\System32\Drivers\a760yo7t.SYS[ataport.SYS!AtaPortNotification] [00147880] \Windows\System32\autochk.exe (Auto Check Utility/Microsoft Corporation)
IAT \SystemRoot\System32\Drivers\a760yo7t.SYS[ataport.SYS!AtaPortQuerySystemTime] 78800C75
IAT \SystemRoot\System32\Drivers\a760yo7t.SYS[ataport.SYS!AtaPortReadPortUchar] 06750015
IAT \SystemRoot\System32\Drivers\a760yo7t.SYS[ataport.SYS!AtaPortStallExecution] C25DC033
########ещё около 20 подобных строчек####

Файла с таким именем не существует и его название меняется с каждой перезагрузкой. Я вспомнил, что когда-то читал о рутките с такими симптомами, и решил попробовать обратиться к профессионалам этого форума. Спасибо.

[Info_bot]

Уважаемый(ая) ariksu, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Bratez]

Это больше похоже на модуль от эмулятора CD-привода.
Насколько я вижу по логам, вы не используете программы вроде Daemon Tools или Alcohol 120, но драйвер sptd в системе присутствует. Удалите этот драйвер и (после перезагрузки) сделайте новые логи AVZ и Gmer.

[ariksu]

Это действительно оказался sptd (Daemon tools у меня всё-таки был), после перезагрузки лог GMER очистился. На лог AVZ это не оказало особого влияния, но это же может быть и Securom...

p.s. Трудно искать чёрную кошку в тёмной комнате, особенно если её там нет.

[Bratez]

Ничего плохого в логах.

[ariksu]

Спасибо большое.