TDSS, кто-то вылечивал? Налаштування

[Sergyg]

У мну собственно второе пришествие TDSS в XP sp3 (обновляетсо).
../зы: у мну во все моменты времени 2 установленных ОС (одинаковых)/
Первое (пришествие) длилось с полгода и в итоге я(?) понавыпонял в AVZ4, что даже переустановка не прошла (40 мин. сидел на этапе "осталось 34 мин. Установка устройств"). Удалось установить в тот же раздел Полную установку (тот же инсталл. пакет CD).

Кроме того у на др. разделе была старая, мало посещаемая мною инсталляция ХР сп3 (там антируткиты стартовали и ничего не находили, т.е. всё Ок). В этой ОС я и жил последний месяц (или меньше). И вот п..ц пришел: Окно "Приветствие" висит мин. 3, антируткиты не стартуют, выход в интернет невозможен.

Вчера мне пытались помочь в "свободной поддержке" http://kaspersky-911.ru/?action=case_show_...s&case_id=67877
ничего не вышло.

Кто-либо боролся (успешно ) с вумными руткитами ?

//в 1-й ОС оно блокировало доступ на USB-flash, потом и на карту телефона, подмена url адресов и НЕПРОБИВАНИЕ клавиш (6 и 9 в блоке для правой руки) - тоже его рук дело//

[Sergyg]

товарищи, руткит можно обнаружить и пытаться нейтрализовать только, сидя в зараженной ОС, т.к. кака получает доступ к ядру ОС.

У мну щас 2шт. ХРсп3, я щас пишу, вхожу в Сеть из новой (неделя), пока живой ОС и в ней пытался также (1,5 суток) сканировать раздел с зараженной и вообще всех разделов на предмет говно-файлов, обеспечивающих поддержку руткиту...

Но проблема в том, что таких файлов не видать, у руткита всё по-другому устроено. Я тут немного почитал, значительно поумнел , а толку...

Очень часто при борьбе с руткитами недостаточно только детектирования и снятия установленных перехватов: например, руткит может проверять состояние перехватов, и в случае их отсутствия – устанавливать заново. Кроме того, некоторые руткиты так же восстанавливают свои файлы, ключи и параметры системного реестра при их удалении антивирусной защитой.
В подавляющем большинстве случаев все манипуляции по восстановлению объектов или перехватов осуществляются в отдельном потоке, работающем в контексте процесса System. Такой поток создаётся вызовом функций PsCreateSystemThread или IoAllocateWorkItem/IoQueueWorkItem из драйвера руткита, а в коде этого потока, в бесконечном цикле с фиксированной задержкой между итерациями по таймеру выполняется все полезные манипуляции. Очевидно, что для препятствия этим манипуляциям будет достаточно завершить поток с помощью отладчика

По данным этого софта у мну оч свежая одна из наисовершеннейших версий руткита
-------------------
На данный момент внутри зараженной ОС только ComboFix после сканирования пишет: обнаружен руткит TDL4 ...... .... .... лечение проведено.. Что интересно сразу же УДАЕТСЯ запускать TDSSKiller.exe Касперского, который сканирует ОС (20сек) и пишет "руткитов не обнаружено". Но если одновременно пытаться запустить другие антируктиты - они не запускаются.
А пару минут спустя - TDSSKiller.exe снова не загружается, останавливаясь на 40%.

Т.е. никто ничего не видит, ComboFix всегда видит, перезагружает, ... и потом опять видит каку.

Авторы TDL4 применили довольно изящный способ обхода, который заключается в использовании техник заражения MBR и старта вредоносного кода раньше самой операционной системы.

Итак, теперь заражение осуществляется следующим образом:

— Открывается описатель физического устройства (в нашем случае это \\??\PhysicalDrive0), на котором располагается раздел с именем C:
— Подготавливается и записывается образ своей файловой системы в конец жесткого диска
— Перезаписывается MBR — кодом, который осуществляет загрузку модулей в ранее подготовленной файловой системе
— После успешного заражения на x64 системах происходит перезагрузка, при помощи вызова функции ExitWindowsEx().

Не понимаю, как понимать ихний ответ "У меня плохая новость: автор TDSSkiller предполагает, что проблема с загрузкой не связана с действием вируса, а скорее системная проблема."
Железо у меня рабочее, да винчестер слегка подыхает , но мои проблемы - это не БСОДы, не checkdisk это всё же зловред орудует. И кстати месяц назад умершая ОС была на нoвеньком WD 5000AAKS