-
Junior Member
- Вес репутации
- 59
Непонятные файлы в Модуле пространства ядра
Здравствуйте,
Принесли компьютер, владелец жалуется, что непонятно утекает трафик, даже если не открыт ни браузер, ни другой софт требующий доступа в инет.
Посмотрел в логе AVZ, предварительно обнаружил ссылку на файл a9f1c8r9.SYS в каталоге system32\drivers, хотя самого файла увидеть на удалось. После того как скриптом дал команду на удаление его и перезагруз, в отчетах появилась ссылка на файл ayl4ooh8.SYS (там же).
Ни касперский, ни др.веб cure it, ничего не показывают, но все же вызывают беспокойство вышеуказанные файлы.
Пожалуйста, посмотрите логи
Заранее спрасибо
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
QuarantineFile('C:\WINDOWS\aticlocklib.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
PS: a???????.sys - от даемон тулз
-
-
Junior Member
- Вес репутации
- 59
Карантин отправил.
aticlocklib.dll - возможно это от комплекта драйверов для карточки на чипе ATI?
-
Вредоносный код в файлах не обнаружен.
-
-
Junior Member
- Вес репутации
- 59
Я между делом отправил oreans32.sys в totalvirus.com
и 3 антивируса выдали мне следующее:
Authentium 4.93.8 2008.04.26 W32/Sdbot.AEFU
CAT-QuickHeal 9.50 2008.04.26 Rootkit.Agent.ad
F-Prot 4.4.2.54 2008.04.25 W32/Sdbot.AEFU
Также непонятно по какй причине в Модуле пространства ядра появляются новые файлы с характерными названиями, щас (после отправки логов) появился auphgtns.SYS
-
oreans32.sys - это драйвер протектора от Oreans. Так вот, этим протектором защищают как хорошие программы, так и плохие. Это не вирус.
По поводу a???????.sys уже ответил rubin.
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
kps
oreans32.sys - это драйвер протектора от Oreans. Так вот, этим протектором защищают как хорошие программы, так и плохие. Это не вирус.
По поводу a???????.sys уже ответил rubin.
Ясно. Как вы думаете, можно-ли удалить это файл из системы, используя средства AVZ? Потому-что у меня все-таки подозрения, что возникновение всех этих фантомных файлов (щас кстати появился новый файл afigq482.SYS) немного нервирует . Или если oreans32.sys оставить в покое, то как можно объяснить появление этих файлов с такими названиями, которые к тому же невозможно увидеть средствами винзоуз?
Последний раз редактировалось drALEX; 26.04.2008 в 21:49.
-
Удалить можно все,но зачем?
-
-
Junior Member
- Вес репутации
- 59
Потому-что меня (может это паранойя, конечно ), тревожит проявление в моей системе непонятной активности - это я всё про файлы с изменяющимися характерными именами после каждой перезагрузки системы, которые к тому же не видны штатными средствами.
-
Сообщение от
drALEX
Потому-что меня (может это паранойя, конечно
), тревожит проявление в моей системе непонятной активности - это я всё про файлы с изменяющимися характерными именами после каждой перезагрузки системы, которые к тому же не видны штатными средствами.
вот зачем вам Daemon tools .... ?
удалите и "страшные" штуки пропадут ...
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
V_Bond
вот зачем вам Daemon tools .... ?
удалите и "страшные" штуки пропадут ...
После удаления DT "страшные" штуки действительно пропали!
Совсем неочевидно было.
Всем, и особенно V_Bond, большое спасибо!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения вредоносные программы в карантинах не обнаружены
-