Показано с 1 по 8 из 8.

Драйвер в пространстве ядра (случайное имя файла) (заявка № 8776)

  1. #1
    Junior Member Репутация
    Регистрация
    02.04.2007
    Сообщений
    4
    Вес репутации
    40

    Драйвер в пространстве ядра (случайное имя файла)

    Вот такой странный модуль поселился на компьютере. Его видно в Sysinternals Process Explorer как подключенный модуль к процессу System. В AVZ видно в сервисе "Модули пространства ядра". Имя модуля меняется с каждой загрузкой системы.
    \SystemRoot\System32\drivers\aze8lpbr.sys
    ab4dl0x8.sys
    a5mkgqh7.sys
    awrbbqsf.sys
    Размер модуля в памяти всегда 303104.
    На диске, естественно, такого файла не существует.
    Скормил его дамп онлайновым AVP, Dr.WEB, а также отправил сюда http://z-oleg.com/secur/avz/uploadvir.php. Антивирусы ничего не нашли. Помогите идентифицировать порцесс. Как можно поймать его "за хвост"?
    Последний раз редактировалось usеr; 02.04.2007 в 10:49.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695

  4. #3
    Geser
    Guest
    Alcohol 120%?

  5. #4
    Junior Member Репутация
    Регистрация
    02.04.2007
    Сообщений
    4
    Вес репутации
    40
    Алкоголь удалил очень давно, щас попробую удалить Daemon, и проверю...

  6. #5
    Junior Member Репутация
    Регистрация
    02.04.2007
    Сообщений
    4
    Вес репутации
    40
    2Geser: спасибо за наводку!
    Это оказался хвост от Daemon Tools. Остался вопрос, а как можно отследить, какой процесс оставляет подобные хвосты? Смотреть загрузочные логи системы или воспользоваться какой нибудь утилиткой?

  7. #6
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1815
    Через диспетчер модулей пространства ядра снять дамп модуля.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  8. #7
    Junior Member Репутация
    Регистрация
    02.04.2007
    Сообщений
    4
    Вес репутации
    40
    NickGolovko, в данном случае этот дамп совершенно ни о чём не сказал. В злонамеренном случае, думаю будет не легче. Определить присутствие кода в памяти еще как то можно, а вот кто его туда помещает уже сложнее, а мне вообще непонятно как.

  9. #8
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1815
    Даже если открывать дамп Блокнотом, родительский файл в нем виден.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  • Уважаемый(ая) usеr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 1
      Последнее сообщение: 04.04.2009, 09:58
    2. RootKit в пространстве ядра.
      От morze в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 06:33
    3. Ответов: 3
      Последнее сообщение: 12.07.2008, 20:25
    4. RootKit в пространстве ядра. 2-й комп.
      От morze в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 12.07.2008, 16:48
    5. драйвер ядра .sys
      От Max2008 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 04.03.2008, 22:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01006 seconds with 16 queries