Подозрение на скрытый Rootkit

[coolfire]

Приветствую,уважаемые эксперты. Ломаю голову уже который день над следующей проблемой. Неожиданно антивирус Dr.Web стал ругаться на то,что процессу svchost.exe "запрещена модификация запущенного приложения"(скрин прилагаю внутри прикрепленного архива), при этом стал множиться процесс iexplore.exe, доходило до 15 штук (прибавлялось по одному процессу каждые минут 10-15). Всевозможные предлагаемые утилиты (TDSSkiller и т.д) нашли что-то в ключах реестра,все что было найдено,удалил. Проблема не ушла, было решено удалить Internet Explorer, после удаления процесс iexplore.exe перестал появляться. Однако при сканировании утилитой AVZ обнаружен перехват библиотек руткитом, который якобы нейтрализуется, но после последующей перезагрузки вновь появляется. Воспользовался вашей утилитой Autologger, однако в полученных логах ничего не смог понять, поэтому отдельно прикрепляю лог AVZ, сделанный мной. Помогите пожалуйста разобраться в проблеме,есть ли заражение и что можно сделать. Заранее спасибо.

[Info_bot]

Уважаемый(ая) coolfire, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Ничего плохого в логах.

[coolfire]

Тогда скажите пожалуйста,почему AVZ при самостоятельной проверке каждый раз после перезагрузки компьютера обнаруживает,что в библиотеках заменен код руткитом (видно в том логе AVZ,который я прикрепил самостоятельно)? Или это что-то другое и опасаться нечего?

[mike 1]

1. Поиск RootKit и программ, перехватывающих функции API
>>>> Подозрение на маскировку файла процесса: c:\windows\system32\hasplms.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtMakeTemporaryObject (344) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции NtMakeTemporaryObject нейтрализован
Функция ntdll.dll:NtSetSystemTime (532) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции NtSetSystemTime нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:ChangeDisplaySettingsExW (1539) перехвачена, метод APICodeHijack.JmpTo[74B935B6]
>>> Код руткита в функции ChangeDisplaySettingsExW нейтрализован
Функция user32.dll:CreateWindowExW (1619) перехвачена, метод APICodeHijack.JmpTo[74B93836]
>>> Код руткита в функции CreateWindowExW нейтрализован
Функция user32.dllisplayConfigGetDeviceInfo (1685) перехвачена, метод APICodeHijack.JmpTo[74B942C6]
>>> Код руткита в функции DisplayConfigGetDeviceInfo нейтрализован
Функция user32.dll:EnumDisplayDevicesA (1737) перехвачена, метод APICodeHijack.JmpTo[74B942F6]
>>> Код руткита в функции EnumDisplayDevicesA нейтрализован
Функция user32.dll:EnumDisplayDevicesW (173 перехвачена, метод APICodeHijack.JmpTo[74B94356]
>>> Код руткита в функции EnumDisplayDevicesW нейтрализован
Функция user32.dll:SendInput (2143) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции SendInput нейтрализован
Функция user32.dll:SetParent (2191) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции SetParent нейтрализован
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text

Эти записи имеются для любой версии Windows.