Показано с 1 по 12 из 12.

Непонятные файлы в Модуле пространства ядра (заявка № 22112)

  1. #1
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    38
    Вес репутации
    59

    Thumbs up Непонятные файлы в Модуле пространства ядра

    Здравствуйте,

    Принесли компьютер, владелец жалуется, что непонятно утекает трафик, даже если не открыт ни браузер, ни другой софт требующий доступа в инет.
    Посмотрел в логе AVZ, предварительно обнаружил ссылку на файл a9f1c8r9.SYS в каталоге system32\drivers, хотя самого файла увидеть на удалось. После того как скриптом дал команду на удаление его и перезагруз, в отчетах появилась ссылка на файл ayl4ooh8.SYS (там же).
    Ни касперский, ни др.веб cure it, ничего не показывают, но все же вызывают беспокойство вышеуказанные файлы.
    Пожалуйста, посмотрите логи
    Заранее спрасибо

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
     QuarantineFile('C:\WINDOWS\aticlocklib.dll','');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)


    PS: a???????.sys - от даемон тулз

  4. #3
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    38
    Вес репутации
    59
    Карантин отправил.
    aticlocklib.dll - возможно это от комплекта драйверов для карточки на чипе ATI?

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Вредоносный код в файлах не обнаружен.

  6. #5
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    38
    Вес репутации
    59
    Я между делом отправил oreans32.sys в totalvirus.com
    и 3 антивируса выдали мне следующее:
    Authentium 4.93.8 2008.04.26 W32/Sdbot.AEFU
    CAT-QuickHeal 9.50 2008.04.26 Rootkit.Agent.ad
    F-Prot 4.4.2.54 2008.04.25 W32/Sdbot.AEFU
    Также непонятно по какй причине в Модуле пространства ядра появляются новые файлы с характерными названиями, щас (после отправки логов) появился auphgtns.SYS

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    oreans32.sys - это драйвер протектора от Oreans. Так вот, этим протектором защищают как хорошие программы, так и плохие. Это не вирус.

    По поводу a???????.sys уже ответил rubin.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  8. #7
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    38
    Вес репутации
    59
    Цитата Сообщение от kps Посмотреть сообщение
    oreans32.sys - это драйвер протектора от Oreans. Так вот, этим протектором защищают как хорошие программы, так и плохие. Это не вирус.

    По поводу a???????.sys уже ответил rubin.
    Ясно. Как вы думаете, можно-ли удалить это файл из системы, используя средства AVZ? Потому-что у меня все-таки подозрения, что возникновение всех этих фантомных файлов (щас кстати появился новый файл afigq482.SYS) немного нервирует . Или если oreans32.sys оставить в покое, то как можно объяснить появление этих файлов с такими названиями, которые к тому же невозможно увидеть средствами винзоуз?
    Последний раз редактировалось drALEX; 26.04.2008 в 21:49.

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Удалить можно все,но зачем?

  10. #9
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    38
    Вес репутации
    59
    Потому-что меня (может это паранойя, конечно ), тревожит проявление в моей системе непонятной активности - это я всё про файлы с изменяющимися характерными именами после каждой перезагрузки системы, которые к тому же не видны штатными средствами.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Цитата Сообщение от drALEX Посмотреть сообщение
    Потому-что меня (может это паранойя, конечно ), тревожит проявление в моей системе непонятной активности - это я всё про файлы с изменяющимися характерными именами после каждой перезагрузки системы, которые к тому же не видны штатными средствами.
    вот зачем вам Daemon tools .... ?
    удалите и "страшные" штуки пропадут ...

  12. #11
    Junior Member Репутация
    Регистрация
    16.04.2008
    Сообщений
    38
    Вес репутации
    59
    Цитата Сообщение от V_Bond Посмотреть сообщение
    вот зачем вам Daemon tools .... ?
    удалите и "страшные" штуки пропадут ...
    После удаления DT "страшные" штуки действительно пропали!
    Совсем неочевидно было.

    Всем, и особенно V_Bond, большое спасибо!

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 10
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) drALEX, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 04.07.2010, 22:13
    2. Ответов: 1
      Последнее сообщение: 04.02.2010, 18:51
    3. sp??.sys в модулях пространства ядра.
      От hopeful в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 10:17
    4. Ответов: 9
      Последнее сообщение: 22.02.2009, 06:35
    5. Ответов: 4
      Последнее сообщение: 06.07.2008, 00:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00293 seconds with 17 queries