Перейти к содержимому


Фото
- - - - -

Странный перехват

Автор qwa , сен 07 2009 17:25

  • Please log in to reply
26 ответов в этой теме

#1 qwa

qwa

    Member

  • Posters
  • 109 Сообщений:

Отправлено 07 Сентябрь 2009 - 17:25

Добрый вечер!
Решил открыть рку и посмотреть, что он скажет. Он мне указал на перехват одной функции драйвером spft.sys.
Логи прилагаю. Найти этот файл не получается (похоже он скрытый) Но RKU молчит как партизан о нахождении файла. Я выбрал dump module и руки чешутся отправить файл в вирлаб, но решил здесь посоветоваться.
http://www.virustotal.com/ru/analisis/4af0...87d7-1252331388
Лог Сканера сейчас будет

Прикрепленные файлы:


#2 YVS

YVS

    Звездочет

  • Helpers
  • 4 798 Сообщений:

Отправлено 07 Сентябрь 2009 - 17:33

Решил открыть рку и посмотреть, что он скажет. Он мне указал на перехват одной функции драйвером spft.sys.

Alcohol/Daemon Tools устанавливали?

И сделайте еще лог GMER

#3 sleb

sleb

    Member

  • Posters
  • 159 Сообщений:

Отправлено 07 Сентябрь 2009 - 17:38

Точно spft.sys? Не spdt.sys? Потому что если spdt.sys, то это скорей всего драйвер дискового эмулятора (Алкоголя или Даемона).
Some are born to sweet delight, some are born to endless night. © William Blake

#4 qwa

qwa

    Member

  • Posters
  • 109 Сообщений:

Отправлено 07 Сентябрь 2009 - 17:39

Установлен Алкоголь, но уже давно. Гмер сейчас будет.

#5 qwa

qwa

    Member

  • Posters
  • 109 Сообщений:

Отправлено 07 Сентябрь 2009 - 17:40

sleb
в логе рку написано.

#6 YVS

YVS

    Звездочет

  • Helpers
  • 4 798 Сообщений:

Отправлено 07 Сентябрь 2009 - 17:42

Вот еще из интересного
Driver: ?_empty_?
Address: 0x804D7000
Size: 2189056 bytes

Driver:		  
Address: 0xBA563000
Size: 98304 bytes

Сделайте дамп этих драйверов и проверьте на VirusTotal

#7 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 07 Сентябрь 2009 - 17:44

Вот еще из интересного

Driver: ?_empty_?
Address: 0x804D7000
Size: 2189056 bytes

Driver:          
Address: 0xBA563000
Size: 98304 bytes

Сделайте дамп этих драйверов и проверьте на VirusTotal

Дамп -это не тело вируса и на вирустотале проверять дамп не имеет смысла. Это если вручную специалисты будут его разбирать то смогут сказать есть ли там что-то подозрительное или нет. 
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#8 YVS

YVS

    Звездочет

  • Helpers
  • 4 798 Сообщений:

Отправлено 07 Сентябрь 2009 - 17:46

Дамп -это не тело вируса и на вирустотале проверять дамп не имеет смысла.

Иногда имеет.

#9 qwa

qwa

    Member

  • Posters
  • 109 Сообщений:

Отправлено 07 Сентябрь 2009 - 17:49

YVS
По какой-то причине ядро нт иногда отображается как empty

#10 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 07 Сентябрь 2009 - 18:09

YVS
По какой-то причине ядро нт иногда отображается как empty

Ни разу не видел такого. ;)
ИМХО, spft.sys - это Алкоголь/Демон:
Driver: spft.sys
Address: 0xBA6DF000
Size: 1048576 bytes

Driver: sptd
Address: 0xBA6DF000
Size: 1048576 bytes

А вот это действительно странно:
>Stealth

Unknown page with executable code
Address: 0x8894EAFF
Size: 1281

Unknown page with executable code
Address: 0x894E1A62
Size: 1438

Unknown page with executable code
Address: 0x88F320B2
Size: 3918

и хуки тоже непонятные...
С уважением,
Борис А. Чертенко aka Borka.

#11 qwa

qwa

    Member

  • Posters
  • 109 Сообщений:

Отправлено 07 Сентябрь 2009 - 18:11

Borka
вечный вопрос, что делать?

#12 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 07 Сентябрь 2009 - 18:16

Borka
вечный вопрос, что делать?

Как обычно - лог сканера. ;)
Можно попробовать снести Алкоголь/Демон и повторить логи.
С уважением,
Борис А. Чертенко aka Borka.

#13 qwa

qwa

    Member

  • Posters
  • 109 Сообщений:

Отправлено 07 Сентябрь 2009 - 18:18

Лог сканера.
Гмер по моему будет сканировать вечно

Прикрепленные файлы:


#14 qwa

qwa

    Member

  • Posters
  • 109 Сообщений:

Отправлено 07 Сентябрь 2009 - 18:23

Borka
до этого ничего не было! Лог РКУ я делал 3 дня назад перехвата не было. А я ничего не трогал

#15 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 07 Сентябрь 2009 - 18:26

Проверьте на вирустотал

C:\.rnd
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#16 qwa

qwa

    Member

  • Posters
  • 109 Сообщений:

Отправлено 07 Сентябрь 2009 - 18:30

mrbelyash
0

#17 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 07 Сентябрь 2009 - 18:35

mrbelyash
0

ЛУчше ссылку...что за формат файла?исполняемый?

----------

и это C:\Documents and Settings\All Users\Application Data\KGyGaAvL.sys
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#18 qwa

qwa

    Member

  • Posters
  • 109 Сообщений:

Отправлено 07 Сентябрь 2009 - 18:39

http://www.virustotal.com/ru/analisis/78b1...f735-1252337261

#19 qwa

qwa

    Member

  • Posters
  • 109 Сообщений:

Отправлено 07 Сентябрь 2009 - 18:45

http://www.virustotal.com/ru/analisis/2767...0407-1252338163

#20 qwa

qwa

    Member

  • Posters
  • 109 Сообщений:

Отправлено 07 Сентябрь 2009 - 18:48

лог гмер

Прикрепленные файлы:

  • Прикрепленный файл  gmer.rar   6,19К   26 Скачано раз

Назад к Помощь по лечению

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых

  1. Dr.Web forum
  2. Русские форумы
  3. Антивирусная лаборатория
  4. Помощь по лечению
  5. Privacy Policy
  6. Terms & Rules ·