Podozrenia na Rootkit i ploditsa

Printable View

13.01.2009, 18:49
Vagon

Podozrenia na Rootkit i ploditsa

Rootkit i ploditsa.[B]sptd.sys[/B] kakoi-to strannii
13.01.2009, 19:17
PavelA

sptd.sys - Daemon or Alcogol
13.01.2009, 19:20
Vagon

Vot es4e
13.01.2009, 19:20
PavelA

Вот это проверим :
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
QuarantineFile('C:\WINDOWS\System32\Drivers\ala9t7lz.SYS','');
QuarantineFile('D:\autorun.inf','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Сделай новые логи.
13.01.2009, 19:29
Vagon

[url]http://depositfiles.com/files/rcqfnyvb8[/url]

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Файл сохранён как 090113_192916_virus_496cc15c6132a.zip
Размер файла 8344
MD5 ceedf4d1181bd8d1d991c34eea7ca757
13.01.2009, 19:30
PavelA

Вот еще парочка интересная:
C:\WINDOWS\system32\drivers\aycidee2.sys
C:\WINDOWS\system32\drivers\amfu2802.sys

Искать через AVZ и присылать, или проверять самому на ВТ.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

setupSNK.exe - что вот это такое знаешь?
13.01.2009, 19:56
Vagon

SNK -eto moa fleshka.Te 2 faila v papke ne vidno.OSAM'om udalal,no oni plodatsa.Pomogi udalit ix.
13.01.2009, 20:14
Vagon

[url]http://depositfiles.com/files/rcqfnyvb8[/url]
tut toje log OSAM'a
13.01.2009, 22:20
PavelA

Давай так.
я пишу скрипт для удаления этих длл.
Если после этого система не грузится(как бы мне этого не хотелось), о выполняешь
загрузку посл. удачной конфигурации.

Сорри, если АВЗ не видит, то я не уверен в их вредности.

З.Ы. Ты на работе? Я уже отвечаю из дома. Инет ограничен.
13.01.2009, 22:55
Vagon

[QUOTE]я пишу скрипт для удаления этих длл.
Если после этого система не грузится(как бы мне этого не хотелось), о выполняешь
загрузку посл. удачной конфигурации.[/QUOTE]
Вообще-то у товарища по работе дома проверял.Он жаловался на то,что винда то грузится,то нет.
Когда я ответа не дождался,извиняюсь,то я пробывал через ОСАМ их вырубить.Как в инструкции было.После перезагрузки такая вот картина [IMG]http://smilies.sofrayt.com/%5E/aiw/sad.gif[/IMG]
[B]HKLM\SYSTEM\CurrentControlSet\Services[/B]
[CODE]C:\WINDOWS\system32\drivers\amfu2802.sys Hidden registry entry, rootkit activity | File not found
C:\WINDOWS\system32\drivers\a5c9exy8.sys Hidden registry entry, rootkit activity | File not found
C:\WINDOWS\system32\drivers\aycidee2.sys Hidden registry entry, rootkit activity | File not found[/CODE]
Я могу в другой раз попробывать снести.Не обязательно прям сейчас скрипт писать,ты пиши скрипт,когда ты сможешь.

Забыл написать.Этот руткит отключить можно,но вот удалить,проблема/
Допишу ещё кое-что.
Я даже не сомневаюсь,что руткит,т.к. при скане Авирой компа на 64%,скан изчез или точнее сам закрылся.
14.01.2009, 08:15
PavelA

Мне подсказали, что это может быть "легитимный" руткит. Драйвера от диска.
14.01.2009, 13:33
Vagon

так что с ним делать?или сказать чтобы он формат делал?
14.01.2009, 13:40
Гриша

Это драйвера эмулятора... зачем формат?
14.01.2009, 14:24
PavelA

[QUOTE=Vagon;333828]так что с ним делать?или сказать чтобы он формат делал?[/QUOTE]

Ни коем случае!!! Нет у него зверья. Не наши это проблемы.М.б. железо, м.б. "дрова".

Система живая и работоспособная.
22.02.2009, 09:57
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]