Обнаружил модуль ядра который постоянно меняет имя
Особых глюков не заметил. Не качались большие файлы грешил на качество интернет канала, решил проверить компьютер на вирусы. После проверки появилось несколько вопросов.
1. Обнаружил модуль пространства ядра который постоянно меняет имя, удалить не могу, avz пишет
[ Ошибка карантина файла, попытка прямого чтения (spsb.sys)
Карантин с использованием прямого чтения - ошибка ]
2. ktalk.sys "Это хитрый драйвер, позволяющий программам напрямую работать с портами ввода-вывода." (c) Зайцев Олег. Может представлять угрозу для безопасности. Программ которые его могут легально использовать вроде как на компьютере не держу.
3. "обнаружена подмена имени, новое имя = "d:\program files\nero\nero8\nero backitup\nbservice.exe" Это зачем вполне обычной утилите?
4."\FileSystem\ntfs[IRP_MJ_CREATE] = 823DD1F8 -> перехватчик не определен
... skip ... \FileSystem\FastFat[IRP_MJ_PNP] = F8C991F8 -> перехватчик не определен" Это что такое может быт? С пунктом 2 никак не связано?
5. "Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll" Если это касперский то зачем ругаться, как впрочем и D:\WINDOWS\system32\Drivers\kl1.sys почему то не признается известным.
6. "O1 - Hosts: 127.0.0.2 custom-host
O1 - Hosts: 127.0.0.2 www.custom
O1 - Hosts: 127.0.0.2 custom"
Это чем опасно(я на сайт www.custom не хожу)? Файл hosts правится скриптом денвера (http://www.denwer.ru/) Побочных эффектов нет.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Да. Я понимаю что регистрация на форуме через активацию письма в почтовом ящике это для борьбы со спамом. В моем случае получилось, что другого компьютера под рукой нет и работать с почтой, как и с форумом приходится с пускай пока предположительно зараженной машины, а что будет с моими паролями если у меня в системе действительно троян?
А как объяснить, что модуль пространства ядра по адресу F8416000 постоянно при перезагрузке меняет свое имя. Удалить его у меня тоже не получилось. В логах это кстати видно...
spsb.sys - это от Даемона или Алкоголя. sp*.sys - его детки.
Возможно Даемон. Зачем имя то менять при каждой загрузке?
И почему
"Файл: D:\WINDOWS\system32\drivers\kl1.sys. Результат: Файл НЕ обнаружен в базе системных и безопасных объектов AVZ" Так и должно быть? Вроде как родной файл касперского?
1. Обнаружил модуль пространства ядра который постоянно меняет имя, удалить не могу, avz пишет
[ Ошибка карантина файла, попытка прямого чтения (spsb.sys)
Карантин с использованием прямого чтения - ошибка ]
Как уже сказали, sp??.sys - от эмулятора дисков. Удалить их не получится, т.к. их наверняка нет в виде файлов на диске. А вот sptd.sys дожен быть на диске - если его удалите, то sp??.sys больше не должны появляться.
Сообщение от Scorpio
4."\FileSystem\ntfs[IRP_MJ_CREATE] = 823DD1F8 -> перехватчик не определен
... skip ... \FileSystem\FastFat[IRP_MJ_PNP] = F8C991F8 -> перехватчик не определен" Это что такое может быт? С пунктом 2 никак не связано?
Это связано с sptd.sys. Если его не будет, то такие записи пропадут.
Сообщение от Scorpio
5. "Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll" Если это касперский то зачем ругаться, как впрочем и D:\WINDOWS\system32\Drivers\kl1.sys почему то не признается известным.
Не все возможно занести в базу безопасных при всем желании...
Анализатор - изучается процесс 1976 D:\Program Files\DAEMON Tools Lite\daemon.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
>>> Реальный размер предположительно = 28475392
Анализатор - изучается процесс 1992 D:\Program Files\TechniSat DVB\bin\Server4PC.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
>>> Реальный размер предположительно = 28475392
Анализатор - изучается процесс 452 D:\Program Files\TechniSat DVB\bin\Server4PC.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
">>> Реальный размер предположительно = 28475392" К какому процессу относится. Если к тому что в верху то почему сообщение для разных файлов (daemon.exe, Server4PC.exe) имеют одинаковый размер(странное совпадение). Если для процесса который изучает анализатор ниже, то не очень последовательно и понятно.
Насколько опасно подобное сообщение?
Посоветуйте базу/программу для проверки файлов на целостность (контрольная сумма, md5 и т.п.).
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Обнаружил модуль ядра который постоянно меняет имя
Сообщение от PavelA
