Показано с 1 по 13 из 13.

Подозрение на RootKit spss.sys, spwo.sys, spzk.sys, spfm.sys, spii.sys (заявка № 20316)

  1. #1
    Junior Member Репутация
    Регистрация
    23.03.2008
    Сообщений
    6
    Вес репутации
    36

    Thumbs up Подозрение на RootKit spss.sys, spwo.sys, spzk.sys, spfm.sys, spii.sys

    Утилитой AVZ было получено сообщение:
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=0846E0)
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
    SDT = 8055B6E0
    KiST = 80503A70 (284)
    Функция NtCreateKey (29) перехвачена (806222D2->BA6AA0E0), перехватчик spvp.sys
    Функция NtEnumerateKey (47) перехвачена (80622B12->BA6C7CA2), перехватчик spvp.sys
    Функция NtEnumerateValueKey (49) перехвачена (80622D7C->BA6C8030), перехватчик spvp.sys
    Функция NtOpenKey (77) перехвачена (80623668->BA6AA0C0), перехватчик spvp.sys
    Функция NtQueryKey (A0) перехвачена (8062398C->BA6C810, перехватчик spvp.sysФункция NtQueryValueKey (B1) перехвачена (8062038C->BA6C7F8, перехватчик spvp.sys
    Функция NtSetValueKey (F7) перехвачена (80620992->BA6C819A), перехватчик spvp.sys
    Проверено функций: 284, перехвачено: 7, восстановлено: 0

    Нод32, Панда 2008 и Др. Веб ничего не нашли. После выполнения скриптов на удаление РутКитов "перехватчик spvp.sys" начал изменять имя файла на spss.sys, spwo.sys, spzk.sys, spfm.sys, spii.sys и т.д. sp*.sys. При попытке физического поиска этого файла поисковик ничего не находит. Логи прикркплены. Конечно всё снести и переустановить проще, но очень хотелось бы разобраться что это такое.
    Вложения Вложения
    Последний раз редактировалось Crossfire; 23.03.2008 в 18:55.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт ...
    Код:
    begin
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\cusbohcn.sys','');
    BC_Importall;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    sp??.sys от DAEMON Tools ...

  4. #3
    Junior Member Репутация
    Регистрация
    23.03.2008
    Сообщений
    6
    Вес репутации
    36
    Я отправил, про sp??.sys это перехватчик меняет своё имя согласно данной маске, Демон тулз из подозрений я откинул сразу. Кстати забыл сказать еще была ошибка системы при автозагрузке файла NMBgMonitor.exe из пакета Nero 8. А так же после установки Панды или обновления баз AVZ появилось подозрение на рут кит в файле PavProc.sys, вот кусок лога:

    Функция NtTerminateProcess (101) перехвачена (805D13E4->B5681A70), перехватчик C:\WINDOWS\system32\DRIVERS\PavProc.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован
    Функция NtTerminateThread (102) перехвачена (805D15DE->B5680E40), перехватчик C:\WINDOWS\system32\DRIVERS\PavProc.sys
    >>> Функция воcстановлена успешно !
    >>> Код перехватчика нейтрализован

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    PavProc.sys от панды ....
    sp??.sys от DAEMON Tools 100%

  6. #5
    Junior Member Репутация
    Регистрация
    23.03.2008
    Сообщений
    6
    Вес репутации
    36
    От Демона sptd.sys я это знаю, про pavProc я понял, а что делать с этим файлом, который меняет своё имя после скрипта на руткиты? Этот файл невозможно физически обнаружить в системе...

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    это динамические драйвера демона ... в новой версии так ...

  8. #7
    Junior Member Репутация
    Регистрация
    23.03.2008
    Сообщений
    6
    Вес репутации
    36
    Хммм, это что, выходит что все эти файлы, которые меняют своё имя ТОЛЬКО после лечения являются "динамическими драйверами демона"?

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    ини меняют имя прикаждой загрузке ... причем на диске их нет ...

  10. #9
    Junior Member Репутация
    Регистрация
    23.03.2008
    Сообщений
    6
    Вес репутации
    36
    Так вынес Демона вместе с приводами, почистил реестр, а проблема осталась.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    демон так не сдается ... драйвер остался ... 100 %

  12. #11
    Junior Member Репутация
    Регистрация
    23.03.2008
    Сообщений
    6
    Вес репутации
    36
    Благодарю за помощь!

  13. #12
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.

    Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Crossfire, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение на Rootkit
      От Arkidon в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 30.10.2010, 13:19
    2. Подозрение на Rootkit XP
      От VlaDos в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 23.07.2010, 23:12
    3. ПОДОЗРЕНИЕ НА ROOTKIT
      От cheburat в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 30.06.2010, 15:30
    4. Подозрение на rootkit
      От RA85 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.02.2009, 19:09
    5. spss.sys ... spkg.sys
      От mak11 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 01.10.2008, 03:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01435 seconds with 17 queries