Показано с 1 по 5 из 5.

Совсем новый руткит или паранойя (заявка № 129908)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    08.01.2013
    Сообщений
    2
    Вес репутации
    15

    Совсем новый руткит или паранойя

    Здравствуйте!

    После борьбы с "антиштрафом" и парой других мелких зловредов уперся в то, что не могу избавиться от
    внедренного модуля ядра. Имя при каждой перезагрузке меняется выглядит как spXX.sys.
    Авира, ДРвеб, Касперские, его не видят.
    Сам не справился с логикой UVS-a. Такое впечатление, что зараза живет и при загрузке с флэшки(WinPe+UVS).
    Проявляется куча отсутствующих файлов при анализе автозагрузки.
    Виртуализация реестра показывает наличие еще нескольких веток в HKLM с неудобоваримыми именами. AnVir task manager "видит" его в драйверах. Удалось сделать дамп данного модуля GMER-ом и АВЗ. Четыре из 45 на Вирустотал что-то заподозрили.
    Блокируется запуск CureIt (ошибка 1722), зависает VBA32.

    В общем, или паранойя или новый зверский руткит. Отладчиком пройтись не могу -- квалификации не хватает.
    Это не на основном рабочем месте, поэтому буду выскакивать с 18:00 и делать, что скажете.

    С уважением, Макс Тараненко.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    325
    Уважаемый(ая) Maxim Taranenko, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Цитата Сообщение от Maxim Taranenko Посмотреть сообщение
    spXX.sys
    Это все "детки" эмулятора дисков. Имя меняется при каждой перезагрузке
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    08.01.2013
    Сообщений
    2
    Вес репутации
    15
    thyrex, спасибо! Уже легче.
    Вроде демон тулза на машине нет.
    Что мне тормознуть, что бы убедиться, что это не маскировка под эмулятор, SPTD.SYS?
    Интересно, что они курили, что бы так грубо "входить в ядро"?

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Цитата Сообщение от Maxim Taranenko Посмотреть сообщение
    Вроде демон тулза на машине нет.
    Есть и стандартные эмуляторы, никак не связанные с daemon tools
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  • Уважаемый(ая) Maxim Taranenko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. руткит новый
      От koot в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 07.05.2009, 00:50
    2. Ответов: 1
      Последнее сообщение: 03.02.2009, 15:34
    3. НОВЫЙ РУТКИТ???
      От iun321 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 18.04.2008, 22:33
    4. Руткит или наранойя?
      От Lamazz в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.01.2008, 18:07

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00048 seconds with 21 queries