Показано с 1 по 16 из 16.

sp??.sys в модулях пространства ядра. (заявка № 38260)

  1. #1
    Junior Member Репутация
    Регистрация
    24.01.2009
    Сообщений
    11
    Вес репутации
    33

    Thumbs up sp??.sys в модулях пространства ядра.

    Началось с того, что Симантек антивирус при каждой перезагрузке компьютера начал находить вирусы (рукиты) с просьбой перезагрузиться.
    Сообщения:
    Троян - bnc.tmp - C:\Temp
    HacktoolRootkit - systemntmi.sys - C:\windows\system32\drivers
    При этом в avz в модулях пространства ядра постоянно появляется новый непонятный модуль с именами sp??.sys (sppt.sys, spmt.sys и т д.)
    Следов этого в реестре и на диске нет, даже после блокирования рукитов avz-ом. причем зараза явно подкачивается каждый раз, причем скорее всего под конкретным пользователем, после лечения из инета, т.к. при отключении интернета сообщений о вирусах нет.
    Помогите плиз, давно с таким не сталкивался ...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Отключите службу восстановления системы (см. Приложение 1 Правил).
    Закройте все программы.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZPMStatus(True);
     QuarantineFile('rem','');
    RebootWindows(false);
    end.
    Компьютер перезагрузится.
    Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.

    Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

    Установите Adobe Acrobat 9 или удалите старый.

    PS. sp??.sys это драйвер DAEMON Tools.

  4. #3
    Junior Member Репутация
    Регистрация
    24.01.2009
    Сообщений
    11
    Вес репутации
    33
    Скрипт запустил, в карантине ничего нет.
    Скрипт запускал под администратором при отключенном инете.
    Может нужно под тем пользователем, который "цепляет" вирус?

    Добавлено через 1 минуту

    Этому пользователю нужно дать права администратора?

    Добавлено через 40 минут

    Акробат переустановил на 9. Предположение на счет него кажется верным, пользователь видимо открыл зараженный pdf из инета.
    Ситуация не изменилась, при загрузке пользователя и подключенном инете:
    Троян - bnc6.tmp - C:\Temp
    HacktoolRootkit - netsik.sys - C:\windows\system32\drivers
    Последний раз редактировалось hopeful; 26.01.2009 в 13:54. Причина: Добавлено

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Вам нужно сделать новый лог по пункту 2 Диагностики от имени Администратора.
    Пользователю дополнительные права не давать.

  6. #5
    Junior Member Репутация
    Регистрация
    24.01.2009
    Сообщений
    11
    Вес репутации
    33
    Новый syscheck ...
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    24.01.2009
    Сообщений
    11
    Вес репутации
    33
    Кстати, как только вирусы попадают на комп., симантек их сразу удаляет в карантин. Может антивирус пока отключить?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Антивирус не надо отключать.
    Вполне возможно, что вирус не попадает на компьютер, а уже там храниться:
    Восстановление системы: включено
    Цитата Сообщение от hopeful
    Ситуация не изменилась, при загрузке пользователя и подключенном инете:
    Троян - bnc6.tmp - C:\Temp
    А без интернета?

  9. #8
    Junior Member Репутация
    Регистрация
    24.01.2009
    Сообщений
    11
    Вес репутации
    33
    1. Отключил восстановление системы (хотя странно, вроде отключал раньше)
    2. Зашел под пользователем с Отключенным инет - симантек молчит.
    3. Зашел под пользователем с Включенным инет:

    Троян - bnc.tmp - C:\Temp
    HacktoolRootkit - aspi32.sys - C:\windows\system32\drivers
    Троян - bn16.tmp - C:\Temp
    HacktoolRootkit - nicsk32.sys - C:\windows\system32\drivers

    4. При входе под администратором с инетом и без, сообщений о вирусах нет.

    Еще раз высылаю syscheck ...
    Вложения Вложения

  10. #9
    Junior Member Репутация
    Регистрация
    24.01.2009
    Сообщений
    11
    Вес репутации
    33
    Запустил avz под пользователем, при сканировании написал (под Админом этого не было):
    обнаружена маскировка процесса manager3.exe c:\document and settings\manager3\manager3.exe.
    Такой файл действительно есть.
    Убить процесс из диспетчера процессов avz не получается, добавляется новый процесс с этим же именем, щас перезагружусь в защищеенном режиме попробую выловить файл запуска и ключи в реестре ...

    Добавлено через 1 час 18 минут

    Похоже финал в разборках. В итоге.
    Под пользователем ключами HKKU... запускался левый процесс (manager3.exe). Этот процесс не опознавался антивирусом и пытался загрузить из интернет вирусы, которые симантек уже видел, и убивал.
    Все оказалось просто.
    Огромное спасибо за сотрудничество и наводку на правильное решение.
    Загрузчик вирусов скопировал в карантин avz и высылаю вам, может пригодится для анализа.
    Последний раз редактировалось hopeful; 26.01.2009 в 17:19. Причина: Добавлено

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Сделайте и выложите сюда лог по пункту 2 Диагностики, запустив AVZ от имени этого пользователя.

    Цитата Сообщение от hopeful
    Под пользователем ключами HKKU...
    В смысле HKСU... ?

  12. #11
    Junior Member Репутация
    Регистрация
    24.01.2009
    Сообщений
    11
    Вес репутации
    33
    Надеюсь, уже чистый лог - прилагаю ;-)
    Вложения Вложения

  13. #12
    Junior Member Репутация
    Регистрация
    24.01.2009
    Сообщений
    11
    Вес репутации
    33
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    В смысле HKСU... ?
    Да, конечно ... ;-)

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    В логе чисто. Вы уже удалили ключ в реестре, запускавший manager3.exe?

  15. #14
    Junior Member Репутация
    Регистрация
    24.01.2009
    Сообщений
    11
    Вес репутации
    33
    Да, удалил, там были две записи на запуск в ветках:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Спасибо за сотрудничество.

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\manager3\\manager3.exe - Trojan-Downloader.Win32.Agent.begu (DrWEB: Trojan.DownLoad.2359


  • Уважаемый(ая) hopeful, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрительные пространства ядра
      От siv21102 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 31.08.2011, 19:26
    2. Ответов: 2
      Последнее сообщение: 13.02.2011, 17:24
    3. Ответов: 6
      Последнее сообщение: 14.01.2010, 08:06
    4. Модуль пространства ядра
      От MKSL в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 21.08.2009, 08:55
    5. Ответов: 14
      Последнее сообщение: 07.04.2009, 10:16

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00459 seconds with 17 queries