Показано с 1 по 5 из 5.

Совсем новый руткит или паранойя (заявка № 129908)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    08.01.2013
    Сообщений
    2
    Вес репутации
    41

    Совсем новый руткит или паранойя

    Здравствуйте!

    После борьбы с "антиштрафом" и парой других мелких зловредов уперся в то, что не могу избавиться от
    внедренного модуля ядра. Имя при каждой перезагрузке меняется выглядит как spXX.sys.
    Авира, ДРвеб, Касперские, его не видят.
    Сам не справился с логикой UVS-a. Такое впечатление, что зараза живет и при загрузке с флэшки(WinPe+UVS).
    Проявляется куча отсутствующих файлов при анализе автозагрузки.
    Виртуализация реестра показывает наличие еще нескольких веток в HKLM с неудобоваримыми именами. AnVir task manager "видит" его в драйверах. Удалось сделать дамп данного модуля GMER-ом и АВЗ. Четыре из 45 на Вирустотал что-то заподозрили.
    Блокируется запуск CureIt (ошибка 1722), зависает VBA32.

    В общем, или паранойя или новый зверский руткит. Отладчиком пройтись не могу -- квалификации не хватает.
    Это не на основном рабочем месте, поэтому буду выскакивать с 18:00 и делать, что скажете.

    С уважением, Макс Тараненко.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Maxim Taranenko, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Maxim Taranenko Посмотреть сообщение
    spXX.sys
    Это все "детки" эмулятора дисков. Имя меняется при каждой перезагрузке
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    08.01.2013
    Сообщений
    2
    Вес репутации
    41
    thyrex, спасибо! Уже легче.
    Вроде демон тулза на машине нет.
    Что мне тормознуть, что бы убедиться, что это не маскировка под эмулятор, SPTD.SYS?
    Интересно, что они курили, что бы так грубо "входить в ядро"?

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Maxim Taranenko Посмотреть сообщение
    Вроде демон тулза на машине нет.
    Есть и стандартные эмуляторы, никак не связанные с daemon tools
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) Maxim Taranenko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. руткит новый
      От koot в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 07.05.2009, 00:50
    2. Ответов: 1
      Последнее сообщение: 03.02.2009, 15:34
    3. НОВЫЙ РУТКИТ???
      От iun321 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 18.04.2008, 22:33
    4. Руткит или наранойя?
      От Lamazz в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.01.2008, 18:07

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01559 seconds with 20 queries