всем привет.
собсно сабж.
падла засела хз где, ни rootkit revealer, ни rkdetekt его не находят. антивирус ни один нормально не работает - налицо блокировка по имени файла/заголовку окна.
новейший касперский не находит на винте ничего даже из другой винды при подкл винта в другой комп.
прям таки эксклюзивная техника...
ваши идеи? (переустановить ос - НЕ идея)
да, система - wxp pro sp2

Первое, что понятно - это что из сказанного ни черта не понятно :-).
Что за "падла", что в системе происходит (только менее эмоционально и более подробно), какая вообще ОС, ставились ли любые бета-версии любого софта и программы уровня Daemon Tools, Alcohol120% и т.д.?

2 Tim

Если вкратце, то руткит - это технология сокрытия, используемая в основном для вирусов, а точнее скрытия их активности.
тоесть ни в списке процессов, ни в реестре, ни в сетевой активности не будут видны элементы, касающиеся вредоносной программы, даже файлов подозрительных на диске не будет видно. таким образом стандартными средствами при активном рутките его не выловишь... вот такие пироги.
.
единственный (из простых) способ его обезвредить - это подождать, мобыть он скоро появится в базах антивирусов.

Это если заранее считать, что в системе именно он сидит. В чем у меня пока особой уверенности нет :-).
Я потому и спрашивал про ОС+софт, что эта комбинация иногда, при особо неудачных сочетаниях может такие "взрывоопасные" ситуации дать - куда там любому rootkit.

Tim
а как иначе? или это случайно переименование любого ехе-файла (напр блокнота) в kav.exe делает его незапускаемым. переименование самого kav.exe - он запускается. но не работает, тк его сервисы/либы называются тоже kav.
+ другие антивирусы (nod32 напр) ругаются на ошибку доступа к памяти...
.
я тоже надеялся что просто глюк, но нет. слишком много совпадений...

Hombre
Рассказал бы сначала в чем собственно дело и что у тебя происходит :-)). И в подробностях.

А то чесслово у нас что-то вроде разговора слепого с глухим получается :-).

Программы для отлова руткитов:
Saint Jude
Chrootkit
RkScan
Carbonite
Kstat
Rootkithunter
Tripware
Samhain

А вообще, знаешь, насколько я знаю, есть только один способ борьбы с руткитами. Превентивный. :) Тык что, реинстал винды, формат Ц ентер и т.п.

gracias, Buryat !
вот так списочек.
одно но: половину проверил - все под никсы. под вынь что нибудь есть?

Да в том то и дело, что руткиты в осном распространены именно в Никсах, эт оттудова маза...
RootKit Hook Analyzer
AVG Anti-Rootkit
Sophos Anti-Rootkit
BitDefender RootkitUncover
Spy Sweeper
CounterSpy
Ashampoo AntiSpyWare
Попробуй еще эти проги... они вроде как тоже умеют руткиты искать...

Я тот список дал так, от финта... Эти все для Винды...

так, всем спс, вроде разобрался...
кому интересно, вот статейка по теме:
http://www.cybersecurity.ru/manuals/crypto/spam/5734.html
а вот линки, в т.ч. для винды:
http://www.antirootkit.com/software.htm

Сам руткит словил? Мне кажется, что ни одна из вышеописанных утилит его не словит... :)

Чувство такое...

Buryat

Не, не сам конечно. Знакомые попросили пофиксить комп. а у них такое...
понятное дело, что превентивно - всегда лучше. но тут уже никак, ибо поздно.
сносить винду тоже нежелательно, тк много софта нужного наставлено.
.
просто есть надежда, что, как ни талантлив был автор руткита, он тоже человек - наверняка ему было лень зашивать все известные строки для блокировки всех тулз лечения.
ну а если нет, то как сказал выше, просто подожду пока он появится в базах антивирусов, и из под другой ОСи (где руткит неактивен) вычислю его.
.
как вариант сделаю листинг всех файлов диска из зараженной оси и из чистой, а потом fc их - тут то он и выйдет.

Ну, чтож. Желаю удачи! Не болеть, ни тебе, ни компу... :)

Есть такая программа. AVZ называется. Создана специально для борьбы с подобной трудновыводимой заразы. Найти можно тут: http://z-oleg.com/secur/avz/index.php