Problemy z rootkitem

[vitio]

Witam
Bardzo proszę o pomoc.
Dziś rano włączyłem komputer (nawet przeinstalowany parę dni temu). Nie wchodziłem na podejrzane strony ani nie instalowałem nic nietypowego. Jedynie wczoraj usuwałem niektóre niepotrzebne pliki ze studiów (zazwyczaj doc, xls, ppt), niektóre otwierając przed ich usunięciem.

Dziś rano w trakcie startu systemu Windows pojawiło się okienko:

Kod:

Isass.exe - Błąd systemu
Operacja We/Wy zainicjowana przez Rejestr nie powiodła się w sposób nieodwracalny. Rejestr nie może wczytać, wypisać lub opróżnić jednego z plików zawierających obraz Rejestru systemu.

Po naciśnięciu OK komputer wyłączył się.
Włączyłem go ponownie. System włączył się już bez tego komunikatu.
Jednak po chwili pojawił się komunikat Avasta Antivirus 7 Free:

Kod:

ZNALEZIONO ROOTKITA
(...)
Zaleca się natychmiastowe usunięcie obiektu

Nazwa pliku    Nazwa rootkita
SVC.WAM         Rootkit

Usuń natychmiast (zalecane)

Niestety, miałem w tym czasie podłączone dwa zewnętrzne dyski (które dopiero po tym komunikacie Avasta odłączyłem) oraz kabel internetowy (który tez odłączyłem po komunikacie Avasta).
Teraz piszę z drugiego komputera.

Nie wiem czy dobrze zrobiłem, ale ponieważ i tak postanowiłem po tym przeinstalować system, to wybrałem "Usuń natychmiast". Po czym Avast zalecił zresetowanie komputera. Po zresetowaniu system się włączył bez żadnego komunikatu.

Komputer mogę przeinstalować (jeszcze tego nie zrobiłem).

1) Ale po pierwsze nie wiem jaki to rootkit i nie wiem więc co mógł mi zrobić - czy jest jakiś sposób by zdiagnozować co to za rootkit (zanim przeinstaluję system)?
2) Bardzo martwi mnie to, że miałem podłączone te dyski. Nie chcę stracić z nich danych.
Boję się też, że zostały zainfekowane i nawet jak przeinstaluję system i je podłączę, to znowu system się zainfekuje - czy to możliwe?
Proszę pomóżcie – najważniejsze dla mnie jest jak sprawdzić (nie infekując być może ponownie systemu lub drugiego komputera) czy te dyski nie są na pewno zainfekowane?

System mogę przeinstalować, ale chodzi mi o te dyski.

Błagam o pomoc, bo jestem w rozpaczy.

[nukemiak]

zdiagnozować możesz, podłącz dysk z rootkitem do drugiego komputera i go zeskanuj, ale nie uruchamiaj z niego nic, a tym bardziej systemu

[byku81]

Ja to Se7en robie tak,włączam wirtualizacje w moim przypadku time freez i podpinam niepewne urządzenie wykonuje skan i już wiem co i jak

[Waves]

Jeżeli wyłączysz autoruna na systemie to możesz i też na swoim komputerze to sprawdzić skanując te dyski

[vitio]

Dziękuję za dotychczasowe odpowiedzi.
Przepraszam, że nie odpisywałem, ale miałem dużo jeszcze innych problemów i musiałem trochę odłożyć na później rozwiązanie problemu z laptopem.
W tym czasie przeinstalowałem system chyba 2-3 razy, bo zaczęły się też pojawiać dosyć często „niebieskie ekrany” (może związane z rootkitem a może związane z nowymi programami zabezpieczającymi, których wcześniej nie miałem (Zone Alarm i Sandboxie oraz nowsza wersja Avasta tzn. 7) i próbowałem sprawdzić czy nie mam nadal tej infekcji (np. w MBR dysku lub na podłączonych wtedy dyskach zewnętrznych, na których mam autoruny o nazwie „autorun.inf.ren” z chyba dziwnym tym rozszerzeniem „ren”). Miałem już prawie gotowy post do zamieszczenia tutaj, który jeszcze miałem uzupełnić.
Jednak dzisiaj po 10 dniach działania systemu po przeinstalowaniu pojawił się znowu ten komunikat Avasta Antivirus 7 Free:

Kod:

ZNALEZIONO ROOTKITA
Zaleca się natychmiastowe usunięcie obiektu
Nazwa pliku        Nazwa rootkita
SVC: WAM        Rootkit
Usuń natychmiast (zalecane)

Avast napisał tak jak piszę, czyli bez podania nazwy rootkita. Poprzednim razem natychmiast wybrałem „Usuń natychmiast” i przeinstalowałem system – czego potem żałowałem, bo chcąc później stwierdzić czy nie mam nadal infekcji brakowało mi tego jaki to rootkit i czułem się jakbym walczył z wiatrakami.
Ponieważ z powodu wątpliwości czy nie mam nadal tej infekcji nie trzymam nic ważnego na tym komputerze (tylko na dyskach zewnętrznych) i nie logowałem się na żadne strony, więc ten rootkit nie ma nic ciekawego do znalezienia na moim komputerze. Dysków zewnętrznych nie podłączałem od dwóch dni.
Chciałbym więc najpierw stwierdzić co to za rootkit, a potem mogę przeinstalować system (nie muszę ratować tego obecnego), tylko, że niestety jak widać on się potem znowu pojawia.
Teraz tylko odłączyłem go od internetu, na ekranie mam ten powyższy komunikat Avasta i piszę tu z drugiego komputera.

Laptop to Lenovo R61i z Windows XP Pro zainstalowanym z ukrytej partycji Lenovo (Rescue and Recovery). Programy zabezpieczające zainstalowane to: Avast Antivirus 7 Free, Malwarebytes Anti-Malware 1.60.1 trial oraz Zone Alarm Free, Sandboxie 3.64.

Wiem, że ten plik może wyglądać na plik od Lenovo, ale mam tego laptopa już 4 lata i nigdy wcześniej nie miałem takiego komunikatu, a poza tym bardzo dziwne jest to, że gdy po pierwszym komunikacie o tym rootkicie przeinstalowałem system, to ani Avast Antivirus 7 ani GMER 1.0.15.15641 z pełnym skanowaniem (oba programy cały czas w tej samej wersji) przez 10 dni nie stwierdziły nic złego. Natomiast dzisiaj akurat kiedy Avast wykrył tego rootkita, to również GMER go znajduje (na czerwono) :
UWAGA !!! GMER odnalazł modyfikacje systemu wskazujące na obecność ROOTKIT’a
Service C:\Program Files\Lenovo\Rescue and Recovery\WAM.sys (*** hidden ***) [MANUAL]WAM

Log pełny z Gmera:

[Aby zobaczyć linki, zarejestruj się tutaj]

Log z OTL (nie wiem dlaczego OTL nie tworzy mi logu Extras ? nie wiem też dlaczego Dr Web wykrył w pliku OTL.exe Trojan.Siggen3.52150 ?):

[Aby zobaczyć linki, zarejestruj się tutaj]

MBRCheck dla dysku w laptopie (nie wiem czy on sprawdza też tą ukryta partycję Lenovo):

Kod:

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00(NTFS)

PhysicalDrive0 Model Number: WDCWD1200BEVS-08RST2, Rev: 08.01G08

SizeDevice NameMBR Status
--------------------------------------------
111 GB\\.\PhysicalDrive0 Unknown MBR code
SHA1: 894990AAC305A02EE6367ECD09562C36E43EF849

Found non-standard or infected MBR.

Log pełny z MBRCheck:

[Aby zobaczyć linki, zarejestruj się tutaj]

Log z DrWeb ( wykrył trojany m.in. w Rescue and Recovery i ThinkVantage ):

Kod:

C:\Documents and Settilngs\1\Pulpit\OTL.exe    zainfekowany wirusem Trojan.Siggen3.52150
C:\Documents and Settilngs\1\Pulpit\OTL2.exe    zainfekowany wirusem Trojan.Siggen3.54293    (tu nowsza wersja OTL)
C:\Program Files\Lenovo\Rescue and Recovery\Migration\bin\apply\ApplySound.dll    zainfekowany wirusem Trojan.Rmnet.1     Usunięty    (dawniej nic mi takiego DrWeb ani inny program nie wykrywał)
C:\Program Files\ThinkVantage\SMA\apply\ApplySound.dll     zainfekowany wirusem Trojan.Rmnet.1    Usunięty    (dawniej nic mi takiego DrWeb ani inny program nie wykrywał)

Log z Malwarebytes (uruchomiony po Dr Web):

[Aby zobaczyć linki, zarejestruj się tutaj]

Czyżby ten rootkit infekował ten plik czy coś w tym stylu (może jest w MBR dysku albo na tej ukrytej partycji Rescue and Recovery)?

Mam wielką prośbę o pomoc jak stwierdzić co to za rootkit, bo wygląda chyba na to, że on potrafi „przeżyć” przeinstalowanie systemu.

PODSUMOWUJĄC: Proszę bardzo o pomoc w stwierdzeniu jaki to rootkit, aby móc adekwatnie do tego zbadać czy dyski zewnętrzne (podłączone podczas poprzedniej infekcji tym rootkitem) nie są zainfekowane (to jest dla mnie najważniejsze) . Mniej zależy mi na tym dysku wewnątrz komputera, bo i tak miałem zamiar go zmienić, ale na razie boje się go wymieniać, aby ten nowy dysk nie zainfekował się z powrotem z tych dysków zewnętrznych, jeśli są zainfekowane ( podejrzenie to mam z powodu tego, że podczas wykrycia infekcji były podłączone, ich autoruny maja nazwę autorun.inf.ren. oraz na jednym z nich MBRCheck wykrył podejrzany MBR, oprócz tego jeszcze te "niebieskie ekrany" ).

Z góry dziękuję bardzo za pomoc

[Eru]

Nie jest to nic groźnego:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

po prostu może być wykryty jako Rootkit...