Показано с 1 по 10 из 10.

spge.sys в ядре (заявка № 40110)

  1. #1
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    31

    Thumbs up spge.sys в ядре

    При анализе компа с помощью AVZ в ядре был обнаружен spge.sys После перезагрузки его имя поменялось на spls.sys при следующей на sppe.sys и.т.д. При загрузке в режиме защиты от сбоев отказался от загрузки C:\Windows\System\Drivers\sptd.sys. Пропала эта зараза из ядра. Запихнул sptd.sys в карантин AVZ. Переименовал sptd.sys. Загрузился в обычном режиме. В событиях системы при загрузке появляется сообщение "сбой при загрузке драйвера перезагрузки или запуска системы sptd.sys" внешне комп работает нормально. Касперский и Веб ничего не находят. Что думаете по поводу всего этого? И гляньге логи Плз.
    Последний раз редактировалось als-a; 25.08.2010 в 16:29.

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Профиксить:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
    O20 - AppInit_DLLs: 0

    sptd.sys - драйвер от Даемона.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    31
    Пофиксил. Спс.
    sptd.sys - Даемон ? Он никогда не стоял на этом компе. А чего ж он тогда имя свое прячет и меняет его после каждой перезагрузки ? Посмотрел на компе где он стоит. Он так и виден нормально в ядре ну типа С:\Windows\System32\drivers\sptd.sys и второй к нему относящийся С:\Windows\System32\sptd9661.sys
    оба без всяких проблем помещаются в карантин. А этот виден просто как sppe.sys (без пути) и в карантин никаким богом (ну естественно имя запрятано). Не маскируется ли зловред под Даемона ?

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Нет, не маскируется...

  6. #5
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    31
    ну ладно. спс.

    Добавлено через 4 минуты

    А может карантинчик все таки выслать ?
    Последний раз редактировалось als-a; 20.02.2009 в 12:09. Причина: Добавлено

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Пришлите...

  8. #7
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    31
    Закачал карантин. Внимательно смотрел Avz еще раз с запушенным sptd.sys в "диспетчере служб и драйверов" он виден как sptd.sys а в "Модулях пространства ядра" на сей раз виден был как spnu.sys (выделен черным)? Понимаю надоел уже я Вам, но не понимаю, если это действительно Даемон то какого черта он себя так ведет.

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    sptd.sys- отец, sp**.sys- детки, если первый есть на диске в виде файла, то вторые есть только в памяти на диске вы их не найдете, почему себя так ведут? Ответ простой, потому, что руткиты дурят систему создавая виртуальные диски...

  10. #9
    Junior Member Репутация
    Регистрация
    10.07.2008
    Сообщений
    77
    Вес репутации
    31
    Понятно, я тут поковырялся эта хрень к алкоголю относиться, так что вы были правы. За потраченное на разьяснение время - БОЛЬШОЕ СПАСИБО.

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,552
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) als-a, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. fiont.sys в ядре
      От als-a в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 28.10.2011, 16:46
    2. В ядре ОС сидит вирус
      От yanussss в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 02.08.2011, 22:50
    3. Руткит в ядре
      От nevzorofff в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 13.08.2009, 13:19
    4. Как убить процесс .sys в ядре
      От Dariy в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 07:08
    5. Уязвимость в ядре Linux
      От ALEX(XX) в разделе Уязвимости
      Ответов: 0
      Последнее сообщение: 27.05.2008, 15:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01266 seconds with 21 queries