Показано с 1 по 15 из 15.

2 не удаляемых файла в модуле ядра (заявка № 11154)

  1. #1
    Junior Member Репутация
    Регистрация
    19.07.2007
    Сообщений
    9
    Вес репутации
    35

    Exclamation 2 не удаляемых файла в модуле ядра

    в модуле пространства ядра присутствуют 2 файла с левыми именами, причем после попытки удаления и после перегрузки они появляются снова, но имена уже другие.
    на момент проверки они называются: anjwttin.sys и a1um84g3.sys, а virustotal на их дамп сказал следующее: Sunbelt 2.2.907.0 2007.07.19 VIPRE.Suspicious, Webwasher-Gateway 6.0.1 2007.07.19 Win32.Malware.gen (suspicious), в карантин они не попадают AVZ пишет:
    Ошибка карантина файла "C:\WINDOWS\System32\Drivers\a1um84g3.SYS", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    "Пофиксите" в HijackThis
    Код:
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    Пришлите файлы карантина по правилам раздела "Помогите". Прикрепите к своему сообщению дампы anjwttin.sys и a1um84g3.sys.

  4. #3
    Junior Member Репутация
    Регистрация
    19.07.2007
    Сообщений
    9
    Вес репутации
    35
    спасибо !

  5. #4
    Junior Member Репутация
    Регистрация
    19.07.2007
    Сообщений
    9
    Вес репутации
    35
    эти файлы с "левыми" именами, из модулей пространства ядра, переименовываются после каждой перезагрузки
    Последний раз редактировалось pig; 20.07.2007 в 03:12. Причина: убрал карантин

  6. #5
    Junior Member Репутация
    Регистрация
    19.07.2007
    Сообщений
    9
    Вес репутации
    35

    дамп

    2-й дамп Вами не принимается, 9 кил перебор лимита
    Последний раз редактировалось pig; 20.07.2007 в 03:13. Причина: убрал карантин

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Читайте правила с начала. Там написано, что карантины к теме не прицепляются, а закачиваются по ссылке вверху темы.

    Добавлено через 3 минуты
    Файл сохранён как 070720_030922_Quarantine_469fef22ced8c.zip
    Размер файла 212981
    MD5 5f0b5ce1be87afaaf1c1feb99d36167e

    Добавлено через 2 минуты
    Файл сохранён как 070720_031053_a1um84g3_469fef7d1950b.zip
    Размер файла 50120
    MD5 6518a5b275029a30f7636f2228760943

    Мне их ещё и перепаковывать пришлось:
    - должны быть в ZIP
    - должны быть с паролем virus
    Последний раз редактировалось pig; 20.07.2007 в 03:11. Причина: Добавлено сообщение

  8. #7
    Junior Member Репутация
    Регистрация
    19.07.2007
    Сообщений
    9
    Вес репутации
    35
    Извиняюсь за тормоза ! :-)
    так мне надо еще чего-нибудь присылать ?
    P.S.
    кстати мы с тобой земляки, я из Мурманска, а в Апатитах у меня друг живет :-)

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Привет другу...
    У вас там второй дамп не влез - вот его и зашлите по правилам.

  10. #9
    Junior Member Репутация
    Регистрация
    19.07.2007
    Сообщений
    9
    Вес репутации
    35
    отправил...

    Добавлено через 10 минут
    а что может значить : "Видимый процесс с PID=1488, имя = "\Device\HarddiskVolume4\PROGRA~1\DrWeb\spidernt.e xe"
    >> обнаружена подмена имени, новое имя = "c:\program files\drweb\spidernt.exe"
    " ?
    Последний раз редактировалось gegsla; 21.07.2007 в 03:48. Причина: Добавлено сообщение

  11. #10
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Будем ждать Олега, но я думаю что это файлы от Daemon Tools.

  12. #11
    Junior Member Репутация
    Регистрация
    19.07.2007
    Сообщений
    9
    Вес репутации
    35
    у товарища такой же демон, но файлов таких нет...

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Демонические инструменты есть разных версий. А на подмену имени внимания не обращайте. По крайней мере, на ту, что процитировали.

  14. #13
    Junior Member Репутация
    Регистрация
    19.07.2007
    Сообщений
    9
    Вес репутации
    35
    ладно, спасибо за помощь !
    буду надеяться что вы правы...

  15. #14
    Junior Member Репутация
    Регистрация
    19.07.2007
    Сообщений
    9
    Вес репутации
    35
    да, после удаления из system32/drivers файла sptd.sys, эти 2 файла с левыми именами перестали появляться в модулях пространства ядра.
    так что это действительно демон..
    еще раз спасибо за помощь !

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,515
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 6
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) gegsla, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 04.07.2010, 22:13
    2. Ответов: 1
      Последнее сообщение: 04.02.2010, 18:51
    3. Ответов: 9
      Последнее сообщение: 22.02.2009, 06:35
    4. Ответов: 11
      Последнее сообщение: 22.02.2009, 05:03
    5. Ответов: 4
      Последнее сообщение: 06.07.2008, 00:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01205 seconds with 22 queries