[iskander-k]

Выполните лог гмер по этим правилам.

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется),

-> альтернативная ссылка с депозита Скачать

Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Запустите программу (пользователям Vista и Windows 7запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.


Если доступен депозит - Скачать Alkid Live CD

[tonsberg]

Делаю очень внимательно по пунктам (педантично, без спешки).

1. Загрузил Ваш файл 63s3isi9.exe с депозита. Хотя с помощью анонимайзера смог скачать оригинал с сайта разработчика и им и пользовался до этого.

2. Жму правой кнопкой мыши и запускаю от имени администратора. Из отдельной папки в корневом каталоге (диск С). Экспресс-проверка не выдаёт никакого окна о деятельности руткита. Может проблема в Win 7 Pro x64??

3. После завершения экспресс-проверки в правой части окна программы пункты о которых Вы пишете - затемнены. Поэтому нет возможности ставить/убирать метки в них.
Никакого нового сообщения (о деятельности руткита) после окончания работы по кнопке Scan не появляется. Высвечиваются только проблемные записи в реестре (картинку уже приводил).



4. Новый лог-файл, полученный в результате работы "Вашего" GMER'a прилагаю.

5. Через 30 минут (если не будет неожиданностей) докачается образ алкида стандарт (ожидаю майский 2011) .

6. Как уже сообщал в первом посте система, к примеру, блокирует драйвера того же Tuluka (о чём честно сообщает в стандартном окне). А также работу некоторых других антируткитов.

[tonsberg]

За 1 секунду после почти 4 часов скачивания опять произошёл обрыв. Паранойя



Никогда такого не было. Предприму ещё одну попытку. Чистого компа сейчас нет под рукой.

[thyrex]

На x64 системах gmer запускать бессмысленно

[tonsberg]

Цитата thyrex:

На x64 системах gmer запускать бессмысленно »

Но должен же быть какой-нибудь выход? Раз вирусописАтели нашли вход Только выбросить комп в окошко не предлагать ))

[S.R]

Попробуйте скачать Alkid Live CD с торрентов.

[tonsberg]

Цитата iskander-k:

Если доступен депозит - Скачать Alkid Live CD »

Спасибо огромное, всё получилось. Пошагово выполнил все инструкции. Однако есть нюансы.

Не знаю имеет ли это значение, но подробно расскажу на всякий случай.У меня установлено 2 физических диска. Сначала был один и назывался диском С. На нём стояла Win XP х86. После выхода Win 7 под неё был приобретён ещё один, новый диск. После установки в систему он стал называться диском D.

Когда же была установлена Win 7 Pro x64 она, как водится, переименовала "свой" диск в диск С. А первый, соответственно, в диск D. Со временем Win XP была полностью удалена. Хотя при загрузках помимо Win 7 диски так и опознаются по старинке. Старичок - как С, а поновее - как D (где сейчас командует семёрка). Что произошло и на этот раз, при работе с Alkid Live CD. Поэтому программу TDSSKiller запускал 2 раза для каждого диска в отдельности и получил 2 лога.

В папке log_C содержится результаты сканирования диска, на котором сейчас установлена Win 7 (тот, что поновее, в среде Live CD обозначенный как диск D).
В папке log_D содержатся результаты сканирования диска, на котором первоначально была Win XP (тот, что постарее, в среде Live CD обозначенный как диск С).
Очень рассчитываю, что объяснил не очень путанно. И это вообще пригодится.

Архив логов прилагаю.

Хочу добавить, что имеется созданный стандартными средствами семёрки архив (образ) системы от 10 окт 11 (за пару недель до вируса). Но его пока никак не использовал. Так как не вижу смысла; если заражены и биос, и MBR. И ещё хотелось бы узнать. А нельзя ли как-нибудь пропатчить биос, просто удалив из него вредоносные записи? Вроде бы есть какие-то программы для таких манипуляций. Хотя мой уровень подготовки лишь на планке обычного пользователя.

[tonsberg]

Ещё заметка. М-дя...

http://onthar.in/news/razvitie-neulo...-rutkita-tdl4/

[S.R]

Запрос на анализ MBR отправил. Подождем результатов

[tonsberg]

Цитата S.R:

Подождем результатов »

Принято. Даже морально поддержка помогает.

Запустил вот этот инструмент на сканирование. Comiodo Essentials, версия 1.7 beta. Пока 0 угроз.
http://onthar.in/files/antivirus-fil...ng-essentials/

Чтобы не заморачиваться с регистрацией качал отсюда. Если кто-то заинтересуется.
http://enterprise.comodo.com/securit...s/download.php

Одним словом перебираю все возможные варианты.