-
Junior Member
- Вес репутации
- 58
spge.sys в ядре
При анализе компа с помощью AVZ в ядре был обнаружен spge.sys После перезагрузки его имя поменялось на spls.sys при следующей на sppe.sys и.т.д. При загрузке в режиме защиты от сбоев отказался от загрузки C:\Windows\System\Drivers\sptd.sys. Пропала эта зараза из ядра. Запихнул sptd.sys в карантин AVZ. Переименовал sptd.sys. Загрузился в обычном режиме. В событиях системы при загрузке появляется сообщение "сбой при загрузке драйвера перезагрузки или запуска системы sptd.sys" внешне комп работает нормально. Касперский и Веб ничего не находят. Что думаете по поводу всего этого? И гляньге логи Плз.
Последний раз редактировалось als-a; 25.08.2010 в 16:29.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Профиксить:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O20 - AppInit_DLLs: 0
sptd.sys - драйвер от Даемона.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 58
Пофиксил. Спс.
sptd.sys - Даемон ? Он никогда не стоял на этом компе. А чего ж он тогда имя свое прячет и меняет его после каждой перезагрузки ? Посмотрел на компе где он стоит. Он так и виден нормально в ядре ну типа С:\Windows\System32\drivers\sptd.sys и второй к нему относящийся С:\Windows\System32\sptd9661.sys
оба без всяких проблем помещаются в карантин. А этот виден просто как sppe.sys (без пути) и в карантин никаким богом (ну естественно имя запрятано). Не маскируется ли зловред под Даемона ?
-
-
-
Junior Member
- Вес репутации
- 58
ну ладно. спс.
Добавлено через 4 минуты
А может карантинчик все таки выслать ?
Последний раз редактировалось als-a; 20.02.2009 в 12:09.
Причина: Добавлено
-
-
-
Junior Member
- Вес репутации
- 58
Закачал карантин. Внимательно смотрел Avz еще раз с запушенным sptd.sys в "диспетчере служб и драйверов" он виден как sptd.sys а в "Модулях пространства ядра" на сей раз виден был как spnu.sys (выделен черным)? Понимаю надоел уже я Вам, но не понимаю, если это действительно Даемон то какого черта он себя так ведет.
-
sptd.sys- отец, sp**.sys- детки, если первый есть на диске в виде файла, то вторые есть только в памяти на диске вы их не найдете, почему себя так ведут? Ответ простой, потому, что руткиты дурят систему создавая виртуальные диски...
-
-
Junior Member
- Вес репутации
- 58
Понятно, я тут поковырялся эта хрень к алкоголю относиться, так что вы были правы. За потраченное на разьяснение время - БОЛЬШОЕ СПАСИБО.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-