Показано с 1 по 12 из 12.

Непонятные файлы в Модуле пространства ядра (заявка № 22112)

  1. #1
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    38
    Вес репутации
    32

    Thumbs up Непонятные файлы в Модуле пространства ядра

    Здравствуйте,

    Принесли компьютер, владелец жалуется, что непонятно утекает трафик, даже если не открыт ни браузер, ни другой софт требующий доступа в инет.
    Посмотрел в логе AVZ, предварительно обнаружил ссылку на файл a9f1c8r9.SYS в каталоге system32\drivers, хотя самого файла увидеть на удалось. После того как скриптом дал команду на удаление его и перезагруз, в отчетах появилась ссылка на файл ayl4ooh8.SYS (там же).
    Ни касперский, ни др.веб cure it, ничего не показывают, но все же вызывают беспокойство вышеуказанные файлы.
    Пожалуйста, посмотрите логи
    Заранее спрасибо

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
     QuarantineFile('C:\WINDOWS\aticlocklib.dll','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)


    PS: a???????.sys - от даемон тулз

  4. #3
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    38
    Вес репутации
    32
    Карантин отправил.
    aticlocklib.dll - возможно это от комплекта драйверов для карточки на чипе ATI?

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Вредоносный код в файлах не обнаружен.

  6. #5
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    38
    Вес репутации
    32
    Я между делом отправил oreans32.sys в totalvirus.com
    и 3 антивируса выдали мне следующее:
    Authentium 4.93.8 2008.04.26 W32/Sdbot.AEFU
    CAT-QuickHeal 9.50 2008.04.26 Rootkit.Agent.ad
    F-Prot 4.4.2.54 2008.04.25 W32/Sdbot.AEFU
    Также непонятно по какй причине в Модуле пространства ядра появляются новые файлы с характерными названиями, щас (после отправки логов) появился auphgtns.SYS

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    oreans32.sys - это драйвер протектора от Oreans. Так вот, этим протектором защищают как хорошие программы, так и плохие. Это не вирус.

    По поводу a???????.sys уже ответил rubin.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  8. #7
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    38
    Вес репутации
    32
    Цитата Сообщение от kps Посмотреть сообщение
    oreans32.sys - это драйвер протектора от Oreans. Так вот, этим протектором защищают как хорошие программы, так и плохие. Это не вирус.

    По поводу a???????.sys уже ответил rubin.
    Ясно. Как вы думаете, можно-ли удалить это файл из системы, используя средства AVZ? Потому-что у меня все-таки подозрения, что возникновение всех этих фантомных файлов (щас кстати появился новый файл afigq482.SYS) немного нервирует . Или если oreans32.sys оставить в покое, то как можно объяснить появление этих файлов с такими названиями, которые к тому же невозможно увидеть средствами винзоуз?
    Последний раз редактировалось drALEX; 26.04.2008 в 21:49.

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Удалить можно все,но зачем?

  10. #9
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    38
    Вес репутации
    32
    Потому-что меня (может это паранойя, конечно ), тревожит проявление в моей системе непонятной активности - это я всё про файлы с изменяющимися характерными именами после каждой перезагрузки системы, которые к тому же не видны штатными средствами.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    Цитата Сообщение от drALEX Посмотреть сообщение
    Потому-что меня (может это паранойя, конечно ), тревожит проявление в моей системе непонятной активности - это я всё про файлы с изменяющимися характерными именами после каждой перезагрузки системы, которые к тому же не видны штатными средствами.
    вот зачем вам Daemon tools .... ?
    удалите и "страшные" штуки пропадут ...

  12. #11
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    38
    Вес репутации
    32
    Цитата Сообщение от V_Bond Посмотреть сообщение
    вот зачем вам Daemon tools .... ?
    удалите и "страшные" штуки пропадут ...
    После удаления DT "страшные" штуки действительно пропали!
    Совсем неочевидно было.

    Всем, и особенно V_Bond, большое спасибо!

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,544
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 10
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) drALEX, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 3
      Последнее сообщение: 04.07.2010, 22:13
    2. Ответов: 1
      Последнее сообщение: 04.02.2010, 18:51
    3. sp??.sys в модулях пространства ядра.
      От hopeful в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 10:17
    4. Ответов: 9
      Последнее сообщение: 22.02.2009, 06:35
    5. Ответов: 4
      Последнее сообщение: 06.07.2008, 00:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01618 seconds with 23 queries