Printable View
[I]Всем здравствуйте.
При использовании утилиты AVZ в просмотре модулей пространства ядра в первой строке идет модуль без имени (маскируется?) по адресу BA709000 размером 018000 (98304). Помогите, пожалуйста, разобраться, что это такое.:?
В форуме на эту тему нашел только это:[/I]
[I][URL]http://virusinfo.info/showthread.php?t=13305&highlight=%EC%EE%E4%F3%EB%FC+%E1%E5%E7+%E8%EC%E5%ED%E8[/URL]
[/I]
[/I]
[I][URL]http://virusinfo.info/showthread.php?t=13396&highlight=98304[/URL]
[/I]
[quote]В форуме на эту тему нашел только это[/quote]
Нет, была еще одна тема, гораздо более длинная, называлась кажется "Мощный хакерский руткит". Только ее вроде в Юмор переместили...
Логи посмотрим, конечно...
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
Ничего подозрительного в логах не видно.
Рекомендуется отключить ненужное из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
[/code]
IMHO также неплохо бы заменить Аваст вкупе со SpywareTerminator'ом на один нормальный антивирус.
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Вот, нашел, почитайте: [url]http://virusinfo.info/showthread.php?t=13396[/url]
В Юмор - это другую подобную отправили.
Вам, наверное, смешно ... , а мне не очень.
Интересно, что бы Вы сами делали, если на Вашей машине появился безымянный драйвер?!:embarasse
Но ведь нормальный драйвер не станет маскироваться, скрывать свое настоящее имя. На всякий случай прикладываю его дамп.
Да и размерчик похожий!
[QUOTE=RussianVanya;156680]Вам, наверное, смешно ... , а мне не очень.
Интересно, что бы Вы сами делали, если на Вашей машине появился безымянный драйвер?!:embarasse[/QUOTE]
Бывает... =) Хорошо, что прислали его дамп.
Однако же волноваться вам не нужно - это, вероятнее всего, драйвер [I]atapi.sys[/I].
А как быть со странными драйверами Dump_ATAPI.sys и Dump_WMILIB.SYS ?
Они у вас отображаются черным цветом в "Модулях пространства ядра"? Так и должно быть, это нормально - просто небольшая недоработка AVZ.
СПАСИБО ВСЕМ ЗА КВАЛИФИЦИРОВАННУЮ ПОМОЩЬ!:)