Показано с 1 по 14 из 14.

вирусы в ядре системы (заявка № 17078)

  1. #1
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    12
    Вес репутации
    33

    Question вирусы в ядре системы

    AVZ сообщает о перехватчиках уровня ядра.(Тоже самое происходит на другой машине, находящейся в другом месте).
    После перезагрузки ничего не меняется-выдает теже сообщения.
    Иногда, даже на неподключ. к сетевой карте кабелю комп начинает грузить подозр процессы и возн. ощущение, что управляется извне.
    При этом есть данные об утечке информации.
    Просьба помочь.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Отключить антивирус, файрвол, интернет
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS.0\system32\hidec','');
     QuarantineFile('spmc.sys','');
     QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\spmc.sys','');
     QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS.0\0\system32\ntoskrnl.exe','');
     QuarantineFile('C:\WINDOWS.0\0\system32\ntdll.dll','');
     QuarantineFile('C:\WINDOWS.0\0\system32\hal.dll','');
     QuarantineFile('C:\WINDOWS.0\0\system32\BOOTVID.dll','');
     QuarantineFile('C:\WINDOWS.0\system32\COMRes.dll','');
     QuarantineFile('c:\windows.0\explorer.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17078

    P.S. По моему у вас дуэт из хорошего и плохого перехватчика, присылайте карантин, будем лечить
    Последний раз редактировалось drongo; 27.01.2008 в 20:13.

  4. #3
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    12
    Вес репутации
    33
    [/QUOTE]Прислать карантин согласно приложения 3 правил .
    [/QUOTE]

    Выслал


    [/QUOTE]P.S. По моему у вас дуэт из хорошего и плохого перехватчика, присылайте карантин, будем лечить [/QUOTE]

    Похоже надо было давно к вам обратиться
    Все антивирусы\антишпионы утверждали что все чисто

    Добавлено через 29 минут

    Следует ли повторить отправку карантина т.к. я не процитировал данные сформированного по ссылке для отправки файла?
    Последний раз редактировалось Ne4et; 27.01.2008 в 21:26. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Архив получили, однако не всё что хотели. Случай интересный
    Поищите пока spmc.sys по второму пункту правил, я бы ещё посоветовал если есть под рукой конечно какой-нибудь liveCD , загрузившись с неё поискать этот файл и нам обязательно прислать.( с паролем virus в зипе как полагается )
    Последний раз редактировалось drongo; 27.01.2008 в 23:15.

  6. #5
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    12
    Вес репутации
    33
    Цитата Сообщение от drongo Посмотреть сообщение
    Архив получили, однако не всё что хотели. Случай интересный
    Поищите пока spmc.sys по второму пункту правил, я бы ещё посоветовал если есть под рукой конечно какой-нибудь liveCD , загрузившись с неё поискать этот файл и нам обязательно прислать.( с паролем virus в зипе как полагается )
    C помощью утилиты AVZ этот файл не обнаруживается, а загрузочного диска под рукой, к сожалению, нет. Я попробую найти диск и поищу утилитами какими нибудь...
    Чем грозит этот "интересный случай"?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    У вас Алкоголь или Daemon Tools раньше не стояли?

  8. #7
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    12
    Вес репутации
    33
    Цитата Сообщение от pig Посмотреть сообщение
    У вас Алкоголь или Daemon Tools раньше не стояли?
    На этой машине (ноутбук) я недели две назад переустанавил windows - форматировал в NTFS. Вышеуказанный софт не устанавливал. До этого тоже не было, но т.к. не я пользовался, то не уверен насчет было ли когда либо...
    На домашнем компе пользовался и тем и другим...

  9. #8
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    12
    Вес репутации
    33
    Цитата Сообщение от drongo Посмотреть сообщение
    Архив получили, однако не всё что хотели. Случай интересный
    Поищите пока spmc.sys по второму пункту правил, я бы ещё посоветовал если есть под рукой конечно какой-нибудь liveCD , загрузившись с неё поискать этот файл и нам обязательно прислать.( с паролем virus в зипе как полагается )
    Грузился с реаним. СD - поиски не увенчались успехом...
    в архиве 080128_104140_1_479e05c45dc68.zip все что было найдено по маске похожего (все были в папке sistem32 и system32\PreInstall).

    Если его надо и без него никак, то подскажите как и где его выковыривать...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Не думаю что мы его найдём, он самоликвидируется после загрузки
    Скорее всего это новый файл от новенькой версии алкоголя.
    Во общем ради эксперимента удалите все эмуляторы дисков и сделайте новые логи.

  11. #10
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    12
    Вес репутации
    33
    Цитата Сообщение от drongo Посмотреть сообщение
    Не думаю что мы его найдём, он самоликвидируется после загрузки
    Скорее всего это новый файл от новенькой версии алкоголя.
    Во общем ради эксперимента удалите все эмуляторы дисков и сделайте новые логи.
    Перечитав правила сделал новые логи...
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Вот родитель:
    Прямое чтение C:\WINDOWS.0\system32\drivers\sptd.sys
    И его детёныш:
    spla.sys Подозрение на RootKit Перехватчик KernelMode
    Причём сам родитель причислен к лику безопасных.

  13. #12
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    12
    Вес репутации
    33
    Цитата Сообщение от pig Посмотреть сообщение
    Вот родитель:

    И его детёныш:

    Причём сам родитель причислен к лику безопасных.
    Что мне с этой популяцией делать?

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Они безвредны, почти.. как дети.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,557
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 31
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Ne4et, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Непонятно: это вирусы или проблема системы
      От Михаил_65 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 13.03.2010, 11:50
    2. Разработчики Linux закрыли две уязвимости в ядре системы
      От SDA в разделе Новости компьютерной безопасности
      Ответов: 0
      Последнее сообщение: 11.12.2009, 21:14
    3. Вирусы или ошибки системы
      От sets в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 17.10.2009, 22:43
    4. Ответов: 11
      Последнее сообщение: 16.07.2009, 11:23
    5. Ответов: 1
      Последнее сообщение: 18.03.2008, 16:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01201 seconds with 23 queries