Странный sys-файл постоянно меняющий своё имя после перезагрузки

**Templar4ik** · 14.04.2008, 12:06

Здравствуйте, господа специалисты!

Обнаружил у себя странную активность одного резидентного sys-овика.
странность заключается в том, что он физически(т.е. как файл) нигде не находится. т.е. я пытался делать тотальный поиск по всем дискам с его текущим названием, который мне выдает АVZ, но результаты поиска - нулевые.
За время экспериментов этот sys принимал следующие названия:

spxt.sys
spjt.sys
spsr.sys

и т.д.

Вот как он выглядит в AVZ в "модулях пространства ядра"
(здесь он называется spxg.sys, в логах может по другому называться):

При попытке его скопировать в карантин, AVZ говорит:
Ошибка карантина файла, попытка прямого чтения (spxg.sys)
Карантин с использованием прямого чтения - ошибка

Никакой явной "противоправной" деятельности я от него не наблюдаю, но кто его знает что это за зверь?

И посмотрите ещё, пожалуйста, почему у меня AVZ ругается на драйвера от nVidia, скачаные с оффиц. сайта.

Спасибо, товарищи,
буду ждать от вас ответа!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 14.04.2008, 12:13

sp??.sys - от DAEMON Tool
C:\OLD_SPACE\DISTRIBUTIVES\Hack\nukes\ - вам точно нужно ???
на всякий случай выполните скрипт ....

Код:

begin
 QuarantineFile('C:\DOCUME~1\CHOSEN~1\LOCALS~1\Temp\Rar$EX00.438\winio.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\fwdrv.sys','');
BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

**Templar4ik** · 14.04.2008, 12:35

sp??.sys - от DAEMON Tool

вот же ж Демонз.. вот же ж чертяга.. а отчегож его AVZ как перехватчика злобного видит?

C:\OLD_SPACE\DISTRIBUTIVES\Hack\nukes\ - вам точно нужно ???

Ой.. это уже лет пять там валяется, хоть и бесполезно, а удалять жалко.. история как-никак..

на всякий случай выполните скрипт ....
пришлите карантин согласно приложения 3 правил ...

Всё сделал, как Вы сказали, шеф!

Файл сохранён как 080414_032746_virus_480315826aaf8.zip

**V_Bond** · 14.04.2008, 12:40

почистим мусор ...
выполните скрипт ...

Код:

begin
 DeleteFile('C:\DOCUME~1\CHOSEN~1\LOCALS~1\Temp\Rar$EX00.438\winio.sys');
BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

больше в логах ничего подозрительного ....

**Templar4ik** · 14.04.2008, 12:44

Вас понял!
Большой-большой Вам респект!!!

**CyberHelper** · 22.02.2009, 04:50

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 7
В ходе лечения вредоносные программы в карантинах не обнаружены

Странный sys-файл постоянно меняющий своё имя после перезагрузки (заявка № 21486)

Опции темы

Странный sys-файл постоянно меняющий своё имя после перезагрузки

Итог лечения

Похожие темы

Неверный образ - после экстренной перезагрузки стала постоянно выскакивать ошибка

Странный файл msvmiode.exe

Странный файл accicons.exe

После каждой перезагрузки в папке temp появляется файл rdl53.tmp

странный файл....

Ваши права в разделе