spge.sys в ядре

**als-a** · 20.02.2009, 10:28

При анализе компа с помощью AVZ в ядре был обнаружен spge.sys После перезагрузки его имя поменялось на spls.sys при следующей на sppe.sys и.т.д. При загрузке в режиме защиты от сбоев отказался от загрузки C:\Windows\System\Drivers\sptd.sys. Пропала эта зараза из ядра. Запихнул sptd.sys в карантин AVZ. Переименовал sptd.sys. Загрузился в обычном режиме. В событиях системы при загрузке появляется сообщение "сбой при загрузке драйвера перезагрузки или запуска системы sptd.sys" внешне комп работает нормально. Касперский и Веб ничего не находят. Что думаете по поводу всего этого? И гляньге логи Плз.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 20.02.2009, 11:24

Профиксить:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O20 - AppInit_DLLs: 0

sptd.sys - драйвер от Даемона.

**als-a** · 20.02.2009, 11:50

Пофиксил. Спс.
sptd.sys - Даемон ? Он никогда не стоял на этом компе. А чего ж он тогда имя свое прячет и меняет его после каждой перезагрузки ? Посмотрел на компе где он стоит. Он так и виден нормально в ядре ну типа С:\Windows\System32\drivers\sptd.sys и второй к нему относящийся С:\Windows\System32\sptd9661.sys
оба без всяких проблем помещаются в карантин. А этот виден просто как sppe.sys (без пути) и в карантин никаким богом (ну естественно имя запрятано). Не маскируется ли зловред под Даемона ?

**Гриша** · 20.02.2009, 11:53

Нет, не маскируется...

**als-a** · 20.02.2009, 12:09

ну ладно. спс.

Добавлено через 4 минуты

А может карантинчик все таки выслать ?

**Гриша** · 20.02.2009, 12:12

Пришлите...

**als-a** · 20.02.2009, 13:08

Закачал карантин. Внимательно смотрел Avz еще раз с запушенным sptd.sys в "диспетчере служб и драйверов" он виден как sptd.sys а в "Модулях пространства ядра" на сей раз виден был как spnu.sys (выделен черным)? Понимаю надоел уже я Вам, но не понимаю, если это действительно Даемон то какого черта он себя так ведет.

**Гриша** · 20.02.2009, 13:40

sptd.sys- отец, sp**.sys- детки, если первый есть на диске в виде файла, то вторые есть только в памяти на диске вы их не найдете, почему себя так ведут? Ответ простой, потому, что руткиты

дурят систему создавая виртуальные диски...

**als-a** · 20.02.2009, 13:59

Понятно, я тут поковырялся эта хрень к алкоголю относиться, так что вы были правы. За потраченное на разьяснение время - БОЛЬШОЕ СПАСИБО.

**CyberHelper** · 21.02.2009, 13:59

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

spge.sys в ядре (заявка № 40110)

Опции темы

spge.sys в ядре

Итог лечения

Похожие темы

fiont.sys в ядре

В ядре ОС сидит вирус

Руткит в ядре

Как убить процесс .sys в ядре

Ваши права в разделе