Rootkit ( ??? Rootkit.Agent.NSF ??? ) Помогите избавиться
 

Вообщем-то и не догадываюсь, где мог приобрести паразита - а то, что он есть в системе - это точно.
Из отчетов KIS 2011
При запуске системы появляются не контролируемые KIS 2011 процессы (в доверенной группе ), производится запуск какой-то неизвестной программы и нескольких копий Windows Explorer, которые потом исчезают.
Далее, с этой программы идет устанавка перехватчиков на С:\Windows\System32\msctf.dll и C:\Windows\SysWOW64\msctf.dll или на С:\Windows\System32\dwmari.dll и C:\Windows\SysWOW64\dwmari.dlll и производится запуск всех остальных процессов, которые тоже в свою очередь пытаются запустить какую-то неизвестную программу и устанавливают перехватчики на вышеуказанные библиотеки и т.д.
При запуске любой, из установленных на компьютере, программы - также производится запуск какой-то неизвестной программы и устанавка перехватчиков на этиже библиотеки.

- Постоянно появляется сообщение Центра поддержки о НЕВКЛЮЧЕННОМ антивирусе, хотя значок KIS 2011 есть в трее и реагирует на все манипуляции с ним, вплоть до завершения программы KIS 2011. При ее повторном запуске в этом же сеансе сообщение не пропадает. После перезагрузки исчезает, но через некоторое время появляется вновь.
- В папке %TEMP%\ после каждого запуска появляется папка с названием "WPDNSE".
- Нагрузка на ЦП держится на уровне 20 - 45 %,
- Суммарная память, занятая процессами svchost.exe в пределах 150-200 Mb.
- Появилась куча открытых локальных портов с непонятными локальными адресами типа " :: " , " ::1 " и "0.0.0.0" ,
- Постоянно, в небольших объемах идет исходящий сетевой трафик.
- Компьютер иногда перестает реагировать на любые действия мыши и клавиатуры в течении 5-10 сек., потом все восстанавливается.

Полное сканирование в обычном режиме, выполненное KIS 2011 и при загрузке с Dr.Web® LiveCD6 никаких проблем не показывает.
Проверил CureIT (2011 01 28) в безопасном режиме (полная проверка всех дисков) - тоже ничего.

Танцы с бубном тоже не помогают, надежда только на гуру этого форума.

В логах ничего подозрительного.

Сделайте лог полного сканирования MBAM.

To zirreX
Извиняюсь за долгое отсутствие, был в командировке.... Тема актуальности не потеряла...
Лог полного сканирования MBAM, а так же на всякий случай лог ComboFix и SophosAntiRootkit.

Удалите то что нашел МБАМ.

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.



• Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Логи ComboFix и Gmer
p.s.
1. Gmer на моей системе (WIN7x64) работает некорректно - не хочет сканировать сервисы
2. В папке %TEMP%\ папка с названием "WPDNSE" так же появляется после каждой перезагрузки и дополнительно появились скрытые папки Cookies, History, Temporary Internet Files и неудаляемый файл kls2BA4.tmp, заблокированный KIS2010 - откуда это ? Правда сообщение Центра поддержки о НЕВКЛЮЧЕННОМ антивирусе исчезло и пока не появляется...

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Все сделал. Лог ComboFix
p.s:В папке %TEMP%\ очередное пополнение - вдобавок к перечисленным в моем предыдущем сообщении появились еще заблокированные файлы -
1. ~DFE62F1BF0492786AC.TMP (заблокирован программой C:\Program Files (x86)\Winstep\Nexus.exe)
2. FXSAPIDebugLogFile.txt (заблокирован программой С:\Windows\Explorer.exe)
3. dat3BAB.tmp (заблокирован программой С:\Program Files\Windows Sidebar\sidebar.exe по 2-м дескрипторам)
удаляться так же не хотят...

В логе чисто
Какие признаки вирусной активности еще наблюдаются вами?
уберите sidebar.exe из автозагрузки или удалите совсем-никакой смысловой нагрузки сей бар не несет
рекомендую при использовании FF bспользовать плагин NoScript
Папка WPDNSE, упорно создаваемая после рестарта - от Windows Media Player, вполне легитимная

Спасибо

Вот хорошо - успокоил наконец-то
Он здорово ограничивает функциональность сайтов, но все же попробую
Нужен он мне - в нем установлены системный монитор, монитор сети и панелька быстрого запуска, в которую собраны все нужные проги
Я писал в первом посте
- Нагрузка на ЦП держится постоянно на уровне 20 - 45 % (даже когда все приложения выключены, раньше было в пределах 2-7%)
- Суммарная память, занятая процессами svchost.exe в пределах 150-200 Mb.
- Появилась куча открытых локальных портов с непонятными локальными адресами типа " :: " , " ::1 " и "0.0.0.0" ,
- Постоянно, в небольших объемах идет исходящий сетевой трафик (по монитору сети и по сетевому монитору KIS, хотя видимого сетевого процесса на вкладке "сетевая активность" нет) - так же не должно быть, да и раньше такого не было.
- Компьютер иногда перестает реагировать на любые действия мыши и клавиатуры в течении 5-10 сек., потом все восстанавливается - это смущает больше всего, на зависание не похоже....
- Непонятные заблокированные и скрытые файлы в папке %TEMP%
- Почему-то перестал открываться Центр обновления Windows

я надеялась на положительную динамику

пуск - выполнить - cmd - ввести в командную строку Tasklist /SVC > c:\Tasklist.txt
нажать enter
c:\Tasklist.txt из корня диска С прикрепите к сообщению

найдите все ваши заблокированные файлы, выпишите их сюда с указанием полного пути к каждому файлу, а также проверьте их на http://www.virustotal.com
Ссылки на проверку файлов запостите в своем следующем сообщении

а вы файлы в MBAM удаляли? повторите лог

нормальные папки...похоже от касперскогоу вас раньше 10 версия стояла и поставли 11?скорее всего у вас что то есть в автозапуске чего раньше не было..
так же автозапуск смотретьв логах мы не видели у вас открытые порты
вполне нормально...
вот здесь.... перед этим не ставили какие либо драйвера обновления или программы??проверьте их на virustotal.comто есть перестал... точно не помню как в 7 но в любом случае вы хотите сказать что пытаясь открыть сервис вам выдает ошибку.. я правильно понял? сделайте скрин плиз.

Всем спасибо за помощь и советы....., но как говориться - чем дальше в лес - тем толще партизаны...
Проблему вчера решил старым, проверенным и кардинальным способом - переустановкой системы с форматированием системного диска - при тех же установленных программах все описанные в предыдущих постах непонятные явления исчезли . Тему можно закрыть.