Показано с 1 по 12 из 12.

RDRIV.SYS: Проблема, схожая с проблемой calambuuur'a (заявка № 6101)

  1. #1
    KittX
    Guest

    RDRIV.SYS: Проблема, схожая с проблемой calambuuur'a

    23 августа в районе 1 часу ночи, при работе MSN Messenger и включенном Антивирусе Касперского с последними на тот момент обновлениями, вышеуказанный Касперский нашёл проблемный файл rdriv.sys . Из обычного режима его удалить невозможно, а если удалять его через безопасный режим, при этом удалив в реестре все записи о нём, он всё равно появляется со следующим входом в нормальный режим WinXP. Также иногда вылезает окно с ошибкой указанного в теме calambuuur'a файла C:\WINDOWS\MSmedia.exe. Также был найден указанный в одной из старых тем ...\system32\i с пометкой "заражен вирусом Trojan-Downloader.BAT.Ftp.ab", и был кстати успешно удалён.
    Среди эффектов этого Трояна связанного с rdriv.sys – по-моему он очень сильно сжирает трафик. Иногда всё начинает страшно тормозить, так что даже курсор мышки ходит рывками.
    При попытках сканировать АВЗ, Касперским - в определенный момент вылетает в синий экран. Поэтому я сделал логи AVZ в безопасном режиме. Надеюсь это не сильно страшно.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от KittX
    23 августа в районе 1 часу ночи, при работе MSN Messenger и включенном Антивирусе Касперского с последними на тот момент обновлениями, вышеуказанный Касперский нашёл проблемный файл rdriv.sys . Из обычного режима его удалить невозможно, а если удалять его через безопасный режим, при этом удалив в реестре все записи о нём, он всё равно появляется со следующим входом в нормальный режим WinXP. Также иногда вылезает окно с ошибкой указанного в теме calambuuur'a файла C:\WINDOWS\MSmedia.exe.
    ну так начните с присылания файлов
    C:\WINDOWS\MSmedia.exe и rdriv.sys по правилам форума.
    а также пришлите файлы
    C:\WINDOWS\system32\LOGOOS.EXE
    C:\WINDOWS\System32\CTHELPER.EXE
    C:\WINDOWS\System32\kxmixer.exe
    (если не знаете, что это у вас такое)

  4. #3
    KittX
    Guest
    C:\WINDOWS\System32\CTHELPER.EXE
    C:\WINDOWS\System32\kxmixer.exe

    первое - патч для WinDVD /насколько я понимаю, хотя не уверен, всё же пришлю/,
    второе - микшер KX аудио драйверов.

  5. #4
    KittX
    Guest
    Хм. Вы знаете, опять что-то странное происходит. Эти два файла.. они как испарились, раньше rdriv.sys постоянно генерировался как бы я ни уничтожал инфу о нём в реестре... А сейчас его просто нет. Отображение всех скрытых и системных файлов включено. Msmedia - то же самое. я в замешательстве, не могу понять хорошо ли это, или плохо.
    Может теперь нужно опять проверить систему и отослать новые логи???

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от KittX
    Хм. Вы знаете, опять что-то странное происходит. Эти два файла.. они как испарились, раньше rdriv.sys постоянно генерировался как бы я ни уничтожал инфу о нём в реестре... А сейчас его просто нет. Отображение всех скрытых и системных файлов включено. Msmedia - то же самое. я в замешательстве, не могу понять хорошо ли это, или плохо.
    Может теперь нужно опять проверить систему и отослать новые логи???
    включите противодействие руткитам и ищите файлы средствами программы AVZ

  7. #6
    KittX
    Guest
    Цитата Сообщение от MOCT
    включите противодействие руткитам и ищите файлы средствами программы AVZ
    файлы и этим способом найдены не были. Но при включении противодействия руткитам была внесена подозрительная на мой взгляд запись в протокол:
    Ядро LOGOOS.EXE обнаружено в памяти по адресу 804D4000
    SDT = 8054AEC0
    KiST = 82071008 (297)
    >>> Внимание, таблица KiST перемещена ! (80502588(284)->82071008(297))
    Проверено функций: 284, перехвачено: 0, восстановлено: 0
    Что из этого следует?
    LOGOOS.EXE всё же стоит наверное Вам прислать?
    я сразу прошу прощения за свою неграмотность в вирусах и всем, что с этим связано, и надеюсь на ваше понимание.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от KittX
    Что из этого следует?
    LOGOOS.EXE всё же стоит наверное Вам прислать?
    я об этом просил еще в сообщении номер 2.

  9. #8
    KittX
    Guest
    архив с LOGOOS.EXE и CTHELPER.EXE закачен

  10. #9
    KittX
    Guest
    Ещё кое-что: просканировал систему с помощью Sophos Anti-Rootkit, он тоже не нашёл этих файлов, и всё что связано с этим руткитом. Однако, он нашёл пару интересных записей в реестре. Одну из них я распознал - она из 3дмакса, беспокоиться не стоит, а вот вторая... это что-то странное имхо. вот скриншот.

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от KittX
    Ещё кое-что: просканировал систему с помощью Sophos Anti-Rootkit, он тоже не нашёл этих файлов, и всё что связано с этим руткитом. Однако, он нашёл пару интересных записей в реестре. Одну из них я распознал - она из 3дмакса, беспокоиться не стоит, а вот вторая... это что-то странное имхо. вот скриншот.
    Эти записи не опасны - ложное срабатывание ... По поводу "невидимого" драйвера нужно понять - невидим ли он. Дело в том, что после загрузки файл можно удалить с диска (и регистрацию из реестра) - это не помешает работе драйвера. Поэтому многие программы так и поступают - регистрируют драйвер, сохраняют на диске, загружают - и затем удаляют с диска и из реестра. В результате драйвер работает, а на диске его нет.

  12. #11
    KittX
    Guest
    Цитата Сообщение от Зайцев Олег
    По поводу "невидимого" драйвера нужно понять - невидим ли он. Дело в том, что после загрузки файл можно удалить с диска (и регистрацию из реестра) - это не помешает работе драйвера. Поэтому многие программы так и поступают - регистрируют драйвер, сохраняют на диске, загружают - и затем удаляют с диска и из реестра. В результате драйвер работает, а на диске его нет.
    Чтож, наверное Вы правы, но сейчас пока ни АВЗ, ни Касперский ничего больше не находят. Странно это как-то... За исключением той "бяки" что АВЗ нашёл во время исполнения противодействия руткитам. Если это была "бяка" конечно.
    Возможно, что за этим руткитом действительно скрывался ...\system32\i с пометкой "заражен вирусом Trojan-Downloader.BAT.Ftp.ab", но почему тогда rdriv.sys не перестал генерироваться сразу после удаления этого вируса? В общем я запутался полностью

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от KittX
    Возможно, что за этим руткитом действительно скрывался ...\system32\i с пометкой "заражен вирусом Trojan-Downloader.BAT.Ftp.ab", но почему тогда rdriv.sys не перестал генерироваться сразу после удаления этого вируса?
    это не вирус - это BAT-файл, который используется для закачки на Ваш компьютер файлов по протоколу FTP. при этом используется стандартная программа ftp.exe, лежащая в системной папке операционной системы. а еще это указывает на то, что у вас стоят не все критические обновления системы и в ней имеется брешь, к которой существует программа-эксплоит. ставьте заплатки.

  • Уважаемый(ая) KittX, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. после помощи с проблемой с CS 1.6 появилась другая проблема. (заявка №54110)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 14.02.2011, 21:00
    2. после помощи с проблемой с CS 1.6 появилась другая проблема. (заявка №54110)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 0
      Последнее сообщение: 13.02.2011, 12:00
    3. RDRIV.SYS не удалить
      От calambuuur в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 27.08.2006, 23:33
    4. И снова rdriv.sys
      От mikeph в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 11.08.2006, 13:17
    5. Ответов: 11
      Последнее сообщение: 22.02.2006, 22:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00406 seconds with 17 queries