Показано с 1 по 14 из 14.

вирусы в ядре системы (заявка № 17078)

  1. #1
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    12
    Вес репутации
    60

    Question вирусы в ядре системы

    AVZ сообщает о перехватчиках уровня ядра.(Тоже самое происходит на другой машине, находящейся в другом месте).
    После перезагрузки ничего не меняется-выдает теже сообщения.
    Иногда, даже на неподключ. к сетевой карте кабелю комп начинает грузить подозр процессы и возн. ощущение, что управляется извне.
    При этом есть данные об утечке информации.
    Просьба помочь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Отключить антивирус, файрвол, интернет
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS.0\system32\hidec','');
     QuarantineFile('spmc.sys','');
     QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\spmc.sys','');
     QuarantineFile('C:\WINDOWS.0\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS.0\0\system32\ntoskrnl.exe','');
     QuarantineFile('C:\WINDOWS.0\0\system32\ntdll.dll','');
     QuarantineFile('C:\WINDOWS.0\0\system32\hal.dll','');
     QuarantineFile('C:\WINDOWS.0\0\system32\BOOTVID.dll','');
     QuarantineFile('C:\WINDOWS.0\system32\COMRes.dll','');
     QuarantineFile('c:\windows.0\explorer.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17078

    P.S. По моему у вас дуэт из хорошего и плохого перехватчика, присылайте карантин, будем лечить
    Последний раз редактировалось drongo; 27.01.2008 в 20:13.

  4. #3
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    12
    Вес репутации
    60
    [/QUOTE]Прислать карантин согласно приложения 3 правил .
    [/QUOTE]

    Выслал


    [/QUOTE]P.S. По моему у вас дуэт из хорошего и плохого перехватчика, присылайте карантин, будем лечить [/QUOTE]

    Похоже надо было давно к вам обратиться
    Все антивирусы\антишпионы утверждали что все чисто

    Добавлено через 29 минут

    Следует ли повторить отправку карантина т.к. я не процитировал данные сформированного по ссылке для отправки файла?
    Последний раз редактировалось Ne4et; 27.01.2008 в 21:26. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Архив получили, однако не всё что хотели. Случай интересный
    Поищите пока spmc.sys по второму пункту правил, я бы ещё посоветовал если есть под рукой конечно какой-нибудь liveCD , загрузившись с неё поискать этот файл и нам обязательно прислать.( с паролем virus в зипе как полагается )
    Последний раз редактировалось drongo; 27.01.2008 в 23:15.

  6. #5
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    12
    Вес репутации
    60
    Цитата Сообщение от drongo Посмотреть сообщение
    Архив получили, однако не всё что хотели. Случай интересный
    Поищите пока spmc.sys по второму пункту правил, я бы ещё посоветовал если есть под рукой конечно какой-нибудь liveCD , загрузившись с неё поискать этот файл и нам обязательно прислать.( с паролем virus в зипе как полагается )
    C помощью утилиты AVZ этот файл не обнаруживается, а загрузочного диска под рукой, к сожалению, нет. Я попробую найти диск и поищу утилитами какими нибудь...
    Чем грозит этот "интересный случай"?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    У вас Алкоголь или Daemon Tools раньше не стояли?

  8. #7
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    12
    Вес репутации
    60
    Цитата Сообщение от pig Посмотреть сообщение
    У вас Алкоголь или Daemon Tools раньше не стояли?
    На этой машине (ноутбук) я недели две назад переустанавил windows - форматировал в NTFS. Вышеуказанный софт не устанавливал. До этого тоже не было, но т.к. не я пользовался, то не уверен насчет было ли когда либо...
    На домашнем компе пользовался и тем и другим...

  9. #8
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    12
    Вес репутации
    60
    Цитата Сообщение от drongo Посмотреть сообщение
    Архив получили, однако не всё что хотели. Случай интересный
    Поищите пока spmc.sys по второму пункту правил, я бы ещё посоветовал если есть под рукой конечно какой-нибудь liveCD , загрузившись с неё поискать этот файл и нам обязательно прислать.( с паролем virus в зипе как полагается )
    Грузился с реаним. СD - поиски не увенчались успехом...
    в архиве 080128_104140_1_479e05c45dc68.zip все что было найдено по маске похожего (все были в папке sistem32 и system32\PreInstall).

    Если его надо и без него никак, то подскажите как и где его выковыривать...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Не думаю что мы его найдём, он самоликвидируется после загрузки
    Скорее всего это новый файл от новенькой версии алкоголя.
    Во общем ради эксперимента удалите все эмуляторы дисков и сделайте новые логи.

  11. #10
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    12
    Вес репутации
    60
    Цитата Сообщение от drongo Посмотреть сообщение
    Не думаю что мы его найдём, он самоликвидируется после загрузки
    Скорее всего это новый файл от новенькой версии алкоголя.
    Во общем ради эксперимента удалите все эмуляторы дисков и сделайте новые логи.
    Перечитав правила сделал новые логи...
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Вот родитель:
    Прямое чтение C:\WINDOWS.0\system32\drivers\sptd.sys
    И его детёныш:
    spla.sys Подозрение на RootKit Перехватчик KernelMode
    Причём сам родитель причислен к лику безопасных.

  13. #12
    Junior Member Репутация
    Регистрация
    27.01.2008
    Сообщений
    12
    Вес репутации
    60
    Цитата Сообщение от pig Посмотреть сообщение
    Вот родитель:

    И его детёныш:

    Причём сам родитель причислен к лику безопасных.
    Что мне с этой популяцией делать?

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Они безвредны, почти.. как дети.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 31
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Ne4et, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Непонятно: это вирусы или проблема системы
      От Михаил_65 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 13.03.2010, 11:50
    2. Вирусы или ошибки системы
      От sets в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 17.10.2009, 22:43
    3. Ответов: 11
      Последнее сообщение: 16.07.2009, 11:23
    4. Ответов: 1
      Последнее сообщение: 18.03.2008, 16:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00408 seconds with 20 queries