Показано с 1 по 15 из 15.

2 не удаляемых файла в модуле ядра (заявка № 11154)

  1. #1
    Junior Member Репутация
    Регистрация
    19.07.2007
    Сообщений
    9
    Вес репутации
    61

    Exclamation 2 не удаляемых файла в модуле ядра

    в модуле пространства ядра присутствуют 2 файла с левыми именами, причем после попытки удаления и после перегрузки они появляются снова, но имена уже другие.
    на момент проверки они называются: anjwttin.sys и a1um84g3.sys, а virustotal на их дамп сказал следующее: Sunbelt 2.2.907.0 2007.07.19 VIPRE.Suspicious, Webwasher-Gateway 6.0.1 2007.07.19 Win32.Malware.gen (suspicious), в карантин они не попадают AVZ пишет:
    Ошибка карантина файла "C:\WINDOWS\System32\Drivers\a1um84g3.SYS", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    "Пофиксите" в HijackThis
    Код:
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    Пришлите файлы карантина по правилам раздела "Помогите". Прикрепите к своему сообщению дампы anjwttin.sys и a1um84g3.sys.

  4. #3
    Junior Member Репутация
    Регистрация
    19.07.2007
    Сообщений
    9
    Вес репутации
    61
    спасибо !

  5. #4
    Junior Member Репутация
    Регистрация
    19.07.2007
    Сообщений
    9
    Вес репутации
    61
    эти файлы с "левыми" именами, из модулей пространства ядра, переименовываются после каждой перезагрузки
    Последний раз редактировалось pig; 20.07.2007 в 03:12. Причина: убрал карантин

  6. #5
    Junior Member Репутация
    Регистрация
    19.07.2007
    Сообщений
    9
    Вес репутации
    61

    дамп

    2-й дамп Вами не принимается, 9 кил перебор лимита
    Последний раз редактировалось pig; 20.07.2007 в 03:13. Причина: убрал карантин

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Читайте правила с начала. Там написано, что карантины к теме не прицепляются, а закачиваются по ссылке вверху темы.

    Добавлено через 3 минуты
    Файл сохранён как 070720_030922_Quarantine_469fef22ced8c.zip
    Размер файла 212981
    MD5 5f0b5ce1be87afaaf1c1feb99d36167e

    Добавлено через 2 минуты
    Файл сохранён как 070720_031053_a1um84g3_469fef7d1950b.zip
    Размер файла 50120
    MD5 6518a5b275029a30f7636f2228760943

    Мне их ещё и перепаковывать пришлось:
    - должны быть в ZIP
    - должны быть с паролем virus
    Последний раз редактировалось pig; 20.07.2007 в 03:11. Причина: Добавлено сообщение

  8. #7
    Junior Member Репутация
    Регистрация
    19.07.2007
    Сообщений
    9
    Вес репутации
    61
    Извиняюсь за тормоза ! :-)
    так мне надо еще чего-нибудь присылать ?
    P.S.
    кстати мы с тобой земляки, я из Мурманска, а в Апатитах у меня друг живет :-)

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Привет другу...
    У вас там второй дамп не влез - вот его и зашлите по правилам.

  10. #9
    Junior Member Репутация
    Регистрация
    19.07.2007
    Сообщений
    9
    Вес репутации
    61
    отправил...

    Добавлено через 10 минут
    а что может значить : "Видимый процесс с PID=1488, имя = "\Device\HarddiskVolume4\PROGRA~1\DrWeb\spidernt.e xe"
    >> обнаружена подмена имени, новое имя = "c:\program files\drweb\spidernt.exe"
    " ?
    Последний раз редактировалось gegsla; 21.07.2007 в 03:48. Причина: Добавлено сообщение

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Будем ждать Олега, но я думаю что это файлы от Daemon Tools.

  12. #11
    Junior Member Репутация
    Регистрация
    19.07.2007
    Сообщений
    9
    Вес репутации
    61
    у товарища такой же демон, но файлов таких нет...

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Демонические инструменты есть разных версий. А на подмену имени внимания не обращайте. По крайней мере, на ту, что процитировали.

  14. #13
    Junior Member Репутация
    Регистрация
    19.07.2007
    Сообщений
    9
    Вес репутации
    61
    ладно, спасибо за помощь !
    буду надеяться что вы правы...

  15. #14
    Junior Member Репутация
    Регистрация
    19.07.2007
    Сообщений
    9
    Вес репутации
    61
    да, после удаления из system32/drivers файла sptd.sys, эти 2 файла с левыми именами перестали появляться в модулях пространства ядра.
    так что это действительно демон..
    еще раз спасибо за помощь !

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 6
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) gegsla, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 04.07.2010, 22:13
    2. Ответов: 1
      Последнее сообщение: 04.02.2010, 18:51
    3. Ответов: 9
      Последнее сообщение: 22.02.2009, 06:35
    4. Ответов: 11
      Последнее сообщение: 22.02.2009, 05:03
    5. Ответов: 4
      Последнее сообщение: 06.07.2008, 00:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00414 seconds with 20 queries