Неизвестный драйвер

Прошу помощи в решении следующей проблемы:
В system.exe среди модулей есть неизвестный драйвер без описания, название которого меняется каждый раз при перезагрузке.
Терзают меня смутные сомнения =)
Проблема собсна в том, что я не могу/знаю, как его выгрузить. Не могу даже найти корень зла - в safe boot он тоже есть списке модулей. В автозагрузке он есть, но также каждый раз после перезагрузки под новым назвнием. Файл образа найти не удается, даже под nix грузился искал...
Антивирусы и утилиты антируткитовые молчат. Поиск инфы адекватно не могу осуществить, не знаю тупо за что зацепиться.
Помогите, кто чем знает. Спасибо.

 

Honorary_BoT
RkUnhooker -> Drivers -> WipeFile

 

Было бы что стирать!
Образ драйвера йок... )

 

Где в автозагрузке? И вообще, что тебе мешает прибить запись реестра, тогда и файл грузиться не будет.

 

Daemon Tools?

 

приведи примеры названий. чисто ради интереса)

 

2Rodin:
В ветке ран. Прибиваю. После перезагрузки там уже другой ключ.
2xorrax:
Образ - файл приложения.
** Доперло ))
Это что, его отродыши, получается? Оставить все как есть?
Ага, вот есть sptd.sys...
Great:
afk68ban.sys - банит за афк? ))
aquf7pe0.sys
azwji2pxc.sys
и т.д., всегда на a...

 

Отдельный драйвер автоматически будет грузится только если есть запись в HKLM\SYSTEM\CurrentControlSet\Services. Ключ run только для юзермодного приложения.

 

тогда это скорее программа =) какая у файла Subsystem?

 

Пардон, я ошибся, реально не в ран, а в Services.
2Great: Ну нет, нет файла

 

Хыхы, поэтому я в бегиннерс и написал, что здесь можно лошиться ))

 

Вобщем пробуй так
0) Пробуй поснимать хуки через Rku/gmer - может файл и появится
1) Если нет, то запоминаешь текущее имя драйвера из system и из записи в реестре
2) Вырубаешь комп выдергиванием вилки из розетки (чтоб исключить колбеки на выключение)
3) Вынимаешь винт, подрубаешь к другому компу и сканишь весь диск на предмет файла с именами из пункт 1. (сканить из другой ОС на этом же винте хреново, т.к. может бутовая дрянь).
4) если нашел - все ок, если нет снова грузишь винду
5) если ситуация с загрузкой повторяется, значит есть еще одна компонента, которая работает в паре с первой. Нужно ее искать.

 

2Rodin:
Блин, так-то да, че-то я не додумался павер офф жестокий сделать =) Буду пробовать, если что новое появится, отпишусь. Спасибо.

 

Твоя система - твоё решение.

 

And the oscar goes to xorrax.
Это действительно был Daemon Toolz, или Alcohol 120% в моем случае. При снятии sptd.sys отвалились и все кракозябровые, я так понимаю, это были виртуальные приводы. Сбил с толку virustotal.com, который выдал мне подозрения на дампы кракозябровых дров.
Всем большое спасибо!

 

Honorary_BoT
И ты еще говорил, что их RKU не видит...

 

2Osen:
Он и не видит. На диске образов не было.
Другое дело sptd.sys. Но я откуда знал, что он - корень проблемы...