Страница 2 из 3 Первая 123 Последняя
Показано с 21 по 40 из 43.

sp??.sys - Подозрение на RootKit, Перехватчик KernelMode

  1. #21
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1821
    Nerimash,
    Цитата Сообщение от Kuzz Посмотреть сообщение
    (Это очень коротко и с многими "упрощениями")
    +
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    Т.е. ищется таблица экспорта. Не только в секции ".text" а вообще.
    А в логе дополнительно указывается то, где она была найдена.
    The worst foe lies within the self...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #22
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nerimash
    Регистрация
    27.09.2009
    Адрес
    Ternopil
    Сообщений
    258
    Вес репутации
    141
    спс за ответ

  4. #23
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    793
    Добавлю свои пять копеек, что sp??.sys - это не драйвер Daemon или ещё кого, а скорее драйвер их компонента SPTD (SCSI Pass Through Direct layer). Этот доайвер используется не только "Демоном", но и Alcohol.
    А сами по себе программы ничего не устанавиливают, просто они работать не могут полноценно без SPTD

  5. #24
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Matias
    Регистрация
    02.01.2008
    Адрес
    Moscow
    Сообщений
    1,049
    Вес репутации
    391
    Думаю, не лишним будет добавить ссылки на официальные деинсталляторы SPTD.
    Скачать утилиту удаления SPTD для 32-битной Windows.
    Скачать утилиту удаления SPTD для 64-битной Windows.
    Запустите соответствующую утилиту и нажмите кнопку Uninstall. Драйвер автоматически удалится.
    Последний раз редактировалось Shu_b; 02.03.2010 в 09:49.

  6. #25
    Junior Member Репутация
    Регистрация
    26.02.2010
    Адрес
    Москва
    Сообщений
    3
    Вес репутации
    36

    Скачать утилиту удаления SPTD для 32-битной Windows.

    Ссылка не работает.

  7. #26
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1646
    Цитата Сообщение от Ale/ksey Посмотреть сообщение
    Ссылка не работает.
    а так - http://www.duplexsecure.com/en/downloads


    ADD.
    Ссылки поправлены.

  8. #27
    Junior Member Репутация
    Регистрация
    05.07.2009
    Адрес
    Дублин, Финляндия
    Сообщений
    6
    Вес репутации
    38
    Перечитал всю эту тему пару раз, понял не все, вернее, мало чего...
    У меня не было ни разу в системе daemon tools и alchohol120%, но sp??.sys (spap.sys) - перехватчик Kernel Mode мой AVZ все же нашел.
    Мне его удалять?

  9. #28
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1299
    Он, в общем-то, безвредный. А систему лучше ставить нормальную, а не сборки левые.

  10. #29
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,630
    Вес репутации
    1298
    Этот драйвер во многие пиратские сборки интегрирован.
    Цитата Сообщение от Jack Novacaine Посмотреть сообщение
    Мне его удалять?
    Можно, если не пользуетесь виртуальным приводом для работы с образами CD.

  11. #30
    Junior Member Репутация
    Регистрация
    05.07.2009
    Адрес
    Дублин, Финляндия
    Сообщений
    6
    Вес репутации
    38
    Да удалить его все равно не вышло - он переименовался, засранец эдакий. Ни алкоголя ни демона нету, но использую ультраИСО с приводами, соответственно. Хотя раньше авз не видел этого файла при сканинге.

  12. #31
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1299
    Удалять надо родителя - sptd.sys.

  13. #32
    Junior Member Репутация
    Регистрация
    11.06.2010
    Адрес
    г.Владимир
    Сообщений
    2
    Вес репутации
    35

    письмо

    Извините за вторжение в тему но у меня тоже было подобное вот

  14. #33
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1821
    The worst foe lies within the self...

  15. #34
    Junior Member Репутация
    Регистрация
    11.06.2010
    Адрес
    г.Владимир
    Сообщений
    2
    Вес репутации
    35
    Спасибо за ПОЛНЕЙШИЙ ОТВЕТ, правила я изучал.

  16. #35
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    514
    Виноват, этот sptd настолько уже глаза замылил, что можно ожидать маскировки под это дров реальных вредоносов.
    Каждый волен поступать как знает, а я перед лечением такие вещи отключаю всегда. И еще, следует помнить о возможности существования цепочки перехватчиков. В этой последовательности sptd может оказаться первым (а потому обнаружевыемым в результате первого прогона), но не единственным.

  17. #36
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Екатеринбург
    Сообщений
    102
    Вес репутации
    38
    у меня sptd.exe ( расположен в windows/system32/drivers )
    Системный файл.
    как отправить этот подозрительный файл на проверку к вам ?

  18. #37
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2506
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #38
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Екатеринбург
    Сообщений
    102
    Вес репутации
    38
    не могу...
    пишет что он сейчас используется.
    в безопасный режим зайти не могу. код ошибки 0x00007b (остальные цифры забыл)

  20. #39
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1299
    Цитата Сообщение от Gena_Solovev Посмотреть сообщение
    пишет что он сейчас используется
    В карантин AVZ его.

  21. #40
    Junior Member Репутация
    Регистрация
    26.09.2009
    Адрес
    Екатеринбург
    Сообщений
    102
    Вес репутации
    38
    кинь "инструкцию":
    как поместить системный файл в карантин в ручную

Страница 2 из 3 Первая 123 Последняя

Похожие темы

  1. RootKit Перехватчик KernelMode spno.sys
    От Pradromalo в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 21.10.2010, 13:51
  2. Подозрение на KernelMode Rootkit под Windows7
    От zinovik в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 23.01.2010, 16:14
  3. Ответов: 6
    Последнее сообщение: 21.09.2009, 11:37
  4. Перехватчик sp** подозрение на RootKit
    От koksinator в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 27.04.2009, 19:18
  5. Подозрение на KernelMode RootKit
    От mrS в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 10.02.2009, 13:11

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00525 seconds with 17 queries