-
Junior Member
- Вес репутации
- 53
Удаление скрытого драйвера
При проверке на руткиты был обнаружен скрытый драйвер, который обнаруживается антивирусами, но неудаётся с помощью них удалить данный драйвер - при попытки удалить антивирус просит перезагрузить, после чего он снова обнаруживает данный драйвер но уже с другим именем(расширение данного драйвера *.SYS). так же его нельзя обнаружить с помощью антивирусных инструментов, нельзя его обнаружить и с помощью файловых менеджеров, возможным следствием данного вредоносного объекта является нестабильное интернет соединение, изменение интерфейса окон ,зависание браузера.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 53
вот логи инструментов,с отключением некоторых программ вышло не совсем удачно
-
Выполните скрипт
Код:
begin
QuarantineFile('C:\WINDOWS\system32\drivers\EIO_XP.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Lbd.sys','');
end.
Загрузите карантин согласно приложению №3 правил. Сделайте такой лог http://virusinfo.info/showthread.php?t=40118
-
-
Junior Member
- Вес репутации
- 53
вот лог от Gmer, скрипты выполнил,но каких либо изменений не было зафиксировано. Не могли бы вы подсказать последствия работы руткитов и с помощью какой программы можно просматреть все скрытые файлы и драйверы, как можно заблокировать работу данного драйвера.? Спасибо.
-
Пришлите карантин.
Не многовато ли защитных средств? Ad-Aware, AVG, PC Tools... Ещё и Daemon Tools, который и есть Ваш руткит.
Последний раз редактировалось Макcим; 16.11.2009 в 13:39.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 53
вот карантин, так много защитных средств необходимо для дуалап соединения, так как часто приходиться подвергаться атаке сканированием портов
Последний раз редактировалось Shu_b; 16.11.2009 в 15:09.
-
Сообщение от
nord405
так много защитных средств необходимо для дуалап соединения, так как часто приходиться подвергаться атаке сканированием портов
Сказки. Сакнирование портов осуществляется извне, не обязательно является атакой с нехорошими целями и никак не зависит от того, что у Вас установлено. Можете снести все защитные приложения или установить ещё десяток: если я знаю Ваш IP и наберу команду - получите сканирование портов в полной мере.
-
-
Junior Member
- Вес репутации
- 53
Других средств защиты я незнаю, такое большое количество защитных систем связано отчасти тем, что каждый из них имеет свои особенности,т.е. какие то слабости одной из программ компенсирует другая, но я могу ошибаться....
-
Сообщение от
nord405
какие то слабости одной из программ компенсирует другая
Слабости программ складываются, в результате получем уязвимость системы.
Для нормальной работы обязательным условием являются только установленные обновления и патчи от производителя OS, желателен постоянно обновляемый полноценный антивирус.
Файрвола вполне достаточно встроенного, Анти-Тысяча-Несчастий и др. Квази-блокеры можно и не устанавливать.
-
-
Junior Member
- Вес репутации
- 53
А что со скрытом драйвером то делать?
-
Сообщение от
nord405
А что со скрытом драйвером то делать
AVG обнаружил скрытый драйвер? Какой и где? Плиз, полное имя и путь к файлу.
-
-
Junior Member
- Вес репутации
- 53
"C:\WINDOWS\System32\Drivers\arullv3w.SYS"; "Скрытый драйвер";"Объект скрыт"
он меняет своё имя при каждой перезагрузки.
-
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
- Сделайте лог GMER.
-
-
Junior Member
- Вес репутации
- 53
В лог_часть укзазан тот самый драйвер,который обнаруживается антивирусом
-
AVG Firewall Service
Comodo Personal Firewall
Вот и дерутся у Вас драйверы файрволов за свободу. АВГ-Файрвол для АВГ-Антивируса родной, Комодовский - враждебный. Сказал же Вам Maxim - поудаляйте все защитные тулзы. Оставьте только АВГ - там уже ВСЁ естъ.
-
-
Junior Member
- Вес репутации
- 53
Скрытый драйвер был обнаружен АВГ до установки каких либо фаирволов
Добавлено через 6 минут
Да и имя менял при каждой перезагрузки, это слегка насторожило,думаю придётся сносить ОС. Спасибо за оказанную помощь!
Последний раз редактировалось nord405; 16.11.2009 в 19:29.
Причина: Добавлено
-
Сообщение от
nord405
Скрытый драйвер был обнаружен АВГ до установки каких либо фаирволов!
Удалите ВСЁ, кроме АВГ. Это явно драйвер от какого-то защитного софта или от эмулятора чего-нибудь, который Вы сами установили.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-