RDRIV.SYS: Проблема, схожая с проблемой calambuuur'a
23 августа в районе 1 часу ночи, при работе MSN Messenger и включенном Антивирусе Касперского с последними на тот момент обновлениями, вышеуказанный Касперский нашёл проблемный файл rdriv.sys . Из обычного режима его удалить невозможно, а если удалять его через безопасный режим, при этом удалив в реестре все записи о нём, он всё равно появляется со следующим входом в нормальный режим WinXP. Также иногда вылезает окно с ошибкой указанного в теме calambuuur'a файла C:\WINDOWS\MSmedia.exe. Также был найден указанный в одной из старых тем ...\system32\i с пометкой "заражен вирусом Trojan-Downloader.BAT.Ftp.ab", и был кстати успешно удалён.
Среди эффектов этого Трояна связанного с rdriv.sys – по-моему он очень сильно сжирает трафик. Иногда всё начинает страшно тормозить, так что даже курсор мышки ходит рывками.
При попытках сканировать АВЗ, Касперским - в определенный момент вылетает в синий экран. Поэтому я сделал логи AVZ в безопасном режиме. Надеюсь это не сильно страшно.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
23 августа в районе 1 часу ночи, при работе MSN Messenger и включенном Антивирусе Касперского с последними на тот момент обновлениями, вышеуказанный Касперский нашёл проблемный файл rdriv.sys . Из обычного режима его удалить невозможно, а если удалять его через безопасный режим, при этом удалив в реестре все записи о нём, он всё равно появляется со следующим входом в нормальный режим WinXP. Также иногда вылезает окно с ошибкой указанного в теме calambuuur'a файла C:\WINDOWS\MSmedia.exe.
ну так начните с присылания файлов
C:\WINDOWS\MSmedia.exe и rdriv.sys по правилам форума.
а также пришлите файлы
C:\WINDOWS\system32\LOGOOS.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\kxmixer.exe
(если не знаете, что это у вас такое)
Хм. Вы знаете, опять что-то странное происходит. Эти два файла.. они как испарились, раньше rdriv.sys постоянно генерировался как бы я ни уничтожал инфу о нём в реестре... А сейчас его просто нет. Отображение всех скрытых и системных файлов включено. Msmedia - то же самое. я в замешательстве, не могу понять хорошо ли это, или плохо.
Может теперь нужно опять проверить систему и отослать новые логи???
Хм. Вы знаете, опять что-то странное происходит. Эти два файла.. они как испарились, раньше rdriv.sys постоянно генерировался как бы я ни уничтожал инфу о нём в реестре... А сейчас его просто нет. Отображение всех скрытых и системных файлов включено. Msmedia - то же самое. я в замешательстве, не могу понять хорошо ли это, или плохо.
Может теперь нужно опять проверить систему и отослать новые логи???
включите противодействие руткитам и ищите файлы средствами программы AVZ
включите противодействие руткитам и ищите файлы средствами программы AVZ
файлы и этим способом найдены не были. Но при включении противодействия руткитам была внесена подозрительная на мой взгляд запись в протокол:
Ядро LOGOOS.EXE обнаружено в памяти по адресу 804D4000
SDT = 8054AEC0
KiST = 82071008 (297)
>>> Внимание, таблица KiST перемещена ! (80502588(284)->82071008(297))
Проверено функций: 284, перехвачено: 0, восстановлено: 0
Что из этого следует?
LOGOOS.EXE всё же стоит наверное Вам прислать?
я сразу прошу прощения за свою неграмотность в вирусах и всем, что с этим связано, и надеюсь на ваше понимание.
Ещё кое-что: просканировал систему с помощью Sophos Anti-Rootkit, он тоже не нашёл этих файлов, и всё что связано с этим руткитом. Однако, он нашёл пару интересных записей в реестре. Одну из них я распознал - она из 3дмакса, беспокоиться не стоит, а вот вторая... это что-то странное имхо. вот скриншот.
Ещё кое-что: просканировал систему с помощью Sophos Anti-Rootkit, он тоже не нашёл этих файлов, и всё что связано с этим руткитом. Однако, он нашёл пару интересных записей в реестре. Одну из них я распознал - она из 3дмакса, беспокоиться не стоит, а вот вторая... это что-то странное имхо. вот скриншот.
Эти записи не опасны - ложное срабатывание ... По поводу "невидимого" драйвера нужно понять - невидим ли он. Дело в том, что после загрузки файл можно удалить с диска (и регистрацию из реестра) - это не помешает работе драйвера. Поэтому многие программы так и поступают - регистрируют драйвер, сохраняют на диске, загружают - и затем удаляют с диска и из реестра. В результате драйвер работает, а на диске его нет.
По поводу "невидимого" драйвера нужно понять - невидим ли он. Дело в том, что после загрузки файл можно удалить с диска (и регистрацию из реестра) - это не помешает работе драйвера. Поэтому многие программы так и поступают - регистрируют драйвер, сохраняют на диске, загружают - и затем удаляют с диска и из реестра. В результате драйвер работает, а на диске его нет.
Чтож, наверное Вы правы, но сейчас пока ни АВЗ, ни Касперский ничего больше не находят. Странно это как-то... За исключением той "бяки" что АВЗ нашёл во время исполнения противодействия руткитам. Если это была "бяка" конечно.
Возможно, что за этим руткитом действительно скрывался ...\system32\i с пометкой "заражен вирусом Trojan-Downloader.BAT.Ftp.ab", но почему тогда rdriv.sys не перестал генерироваться сразу после удаления этого вируса? В общем я запутался полностью
Возможно, что за этим руткитом действительно скрывался ...\system32\i с пометкой "заражен вирусом Trojan-Downloader.BAT.Ftp.ab", но почему тогда rdriv.sys не перестал генерироваться сразу после удаления этого вируса?
это не вирус - это BAT-файл, который используется для закачки на Ваш компьютер файлов по протоколу FTP. при этом используется стандартная программа ftp.exe, лежащая в системной папке операционной системы. а еще это указывает на то, что у вас стоят не все критические обновления системы и в ней имеется брешь, к которой существует программа-эксплоит. ставьте заплатки.
Уважаемый(ая) KittX, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: