2 не удаляемых файла в модуле ядра

Printable View

19.07.2007, 07:12
gegsla

Вложений: 3

2 не удаляемых файла в модуле ядра

в модуле пространства ядра присутствуют 2 файла с левыми именами, причем после попытки удаления и после перегрузки они появляются снова, но имена уже другие.
на момент проверки они называются: anjwttin.sys и a1um84g3.sys, а virustotal на их дамп сказал следующее: Sunbelt 2.2.907.0 2007.07.19 VIPRE.Suspicious, Webwasher-Gateway 6.0.1 2007.07.19 Win32.Malware.gen (suspicious), в карантин они не попадают AVZ пишет:
[SIZE=2][COLOR=#ff0000]Ошибка карантина файла "C:\WINDOWS\System32\Drivers\a1um84g3.SYS", попытка прямого чтения[/COLOR][/SIZE]
[SIZE=2][COLOR=#ff0000]Карантин с использованием прямого чтения - ошибка.[/COLOR][/SIZE]
19.07.2007, 08:45
Макcим

[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k[/CODE]
Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Прикрепите к своему сообщению дампы anjwttin.sys и a1um84g3.sys.
19.07.2007, 18:30
gegsla

спасибо !
20.07.2007, 01:43
gegsla

эти файлы с "левыми" именами, из модулей пространства ядра, переименовываются после каждой перезагрузки
20.07.2007, 01:50
gegsla

дамп

2-й дамп Вами не принимается, 9 кил перебор лимита
20.07.2007, 03:11
pig

Читайте правила с начала. Там написано, что карантины к теме не прицепляются, а закачиваются по ссылке вверху темы.

[size="1"][color="#666686"][B]Добавлено через 3 минуты[/B][/color][/size]
Файл сохранён как 070720_030922_Quarantine_469fef22ced8c.zip
Размер файла 212981
MD5 5f0b5ce1be87afaaf1c1feb99d36167e

[size="1"][color="#666686"][B]Добавлено через 2 минуты[/B][/color][/size]
Файл сохранён как 070720_031053_a1um84g3_469fef7d1950b.zip
Размер файла 50120
MD5 6518a5b275029a30f7636f2228760943

Мне их ещё и перепаковывать пришлось:
- должны быть в ZIP
- должны быть с паролем [B]virus[/B]
21.07.2007, 02:13
gegsla

Извиняюсь за тормоза ! :-)
так мне надо еще чего-нибудь присылать ?
P.S.
кстати мы с тобой земляки, я из Мурманска, а в Апатитах у меня друг живет :-)
21.07.2007, 03:01
pig

Привет другу...
У вас там второй дамп не влез - вот его и зашлите по правилам.
21.07.2007, 03:48
gegsla

отправил...

[size="1"][color="#666686"][B]Добавлено через 10 минут[/B][/color][/size]
а что может значить : "Видимый процесс с PID=1488, имя = "\Device\HarddiskVolume4\PROGRA~1\DrWeb\spidernt.exe"
>> обнаружена подмена имени, новое имя = "c:\program files\drweb\spidernt.exe"
" ?
21.07.2007, 11:47
Макcим

Будем ждать Олега, но я думаю что это файлы от Daemon Tools.
21.07.2007, 18:20
gegsla

у товарища такой же демон, но файлов таких нет...
22.07.2007, 03:58
pig

Демонические инструменты есть разных версий. А на подмену имени внимания не обращайте. По крайней мере, на ту, что процитировали.
22.07.2007, 04:24
gegsla

ладно, спасибо за помощь !
буду надеяться что вы правы...
23.07.2007, 06:06
gegsla

да, после удаления из system32/drivers файла sptd.sys, эти 2 файла с левыми именами перестали появляться в модулях пространства ядра.
так что это действительно демон..
еще раз спасибо за помощь !
22.02.2009, 02:07
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]