Подозрение на RootKit spss.sys, spwo.sys, spzk.sys, spfm.sys, spii.sys
Утилитой AVZ было получено сообщение:
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0846E0)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 8055B6E0
KiST = 80503A70 (284)
Функция NtCreateKey (29) перехвачена (806222D2->BA6AA0E0), перехватчик spvp.sys
Функция NtEnumerateKey (47) перехвачена (80622B12->BA6C7CA2), перехватчик spvp.sys
Функция NtEnumerateValueKey (49) перехвачена (80622D7C->BA6C8030), перехватчик spvp.sys
Функция NtOpenKey (77) перехвачена (80623668->BA6AA0C0), перехватчик spvp.sys
Функция NtQueryKey (A0) перехвачена (8062398C->BA6C810, перехватчик spvp.sysФункция NtQueryValueKey (B1) перехвачена (8062038C->BA6C7F8, перехватчик spvp.sys
Функция NtSetValueKey (F7) перехвачена (80620992->BA6C819A), перехватчик spvp.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0
Нод32, Панда 2008 и Др. Веб ничего не нашли. После выполнения скриптов на удаление РутКитов "перехватчик spvp.sys" начал изменять имя файла на spss.sys, spwo.sys, spzk.sys, spfm.sys, spii.sys и т.д. sp*.sys. При попытке физического поиска этого файла поисковик ничего не находит. Логи прикркплены. Конечно всё снести и переустановить проще, но очень хотелось бы разобраться что это такое.
Последний раз редактировалось Crossfire; 23.03.2008 в 18:55.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Я отправил, про sp??.sys это перехватчик меняет своё имя согласно данной маске, Демон тулз из подозрений я откинул сразу. Кстати забыл сказать еще была ошибка системы при автозагрузке файла NMBgMonitor.exe из пакета Nero 8. А так же после установки Панды или обновления баз AVZ появилось подозрение на рут кит в файле PavProc.sys, вот кусок лога:
Функция NtTerminateProcess (101) перехвачена (805D13E4->B5681A70), перехватчик C:\WINDOWS\system32\DRIVERS\PavProc.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateThread (102) перехвачена (805D15DE->B5680E40), перехватчик C:\WINDOWS\system32\DRIVERS\PavProc.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
От Демона sptd.sys я это знаю, про pavProc я понял, а что делать с этим файлом, который меняет своё имя после скрипта на руткиты? Этот файл невозможно физически обнаружить в системе...
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: