Неизвестный драйвер

Тема в разделе "WASM.BEGINNERS", создана пользователем Honorary_BoT, 30 ноя 2008.

  1. Honorary_BoT

    Honorary_BoT New Member

    Публикаций:
    0
    Регистрация:
    21 мар 2008
    Сообщения:
    87
    Прошу помощи в решении следующей проблемы:
    В system.exe среди модулей есть неизвестный драйвер без описания, название которого меняется каждый раз при перезагрузке.
    Терзают меня смутные сомнения =)
    Проблема собсна в том, что я не могу/знаю, как его выгрузить. Не могу даже найти корень зла - в safe boot он тоже есть списке модулей. В автозагрузке он есть, но также каждый раз после перезагрузки под новым назвнием. Файл образа найти не удается, даже под nix грузился искал...
    Антивирусы и утилиты антируткитовые молчат. Поиск инфы адекватно не могу осуществить, не знаю тупо за что зацепиться.
    Помогите, кто чем знает. Спасибо.
     
  2. Osen

    Osen Рие

    Публикаций:
    0
    Регистрация:
    5 апр 2008
    Сообщения:
    283
    Адрес:
    Париж
    Honorary_BoT
    RkUnhooker -> Drivers -> WipeFile
     
  3. Honorary_BoT

    Honorary_BoT New Member

    Публикаций:
    0
    Регистрация:
    21 мар 2008
    Сообщения:
    87
    Было бы что стирать!
    Образ драйвера йок... )
     
  4. Rodin

    Rodin New Member

    Публикаций:
    0
    Регистрация:
    30 апр 2007
    Сообщения:
    125
    Где в автозагрузке? И вообще, что тебе мешает прибить запись реестра, тогда и файл грузиться не будет.
     
  5. xorrax

    xorrax New Member

    Публикаций:
    0
    Регистрация:
    6 ноя 2008
    Сообщения:
    11
    Daemon Tools? :)
     
  6. wasm_test

    wasm_test wasm test user

    Публикаций:
    0
    Регистрация:
    24 ноя 2006
    Сообщения:
    5.582
    приведи примеры названий. чисто ради интереса)
     
  7. Honorary_BoT

    Honorary_BoT New Member

    Публикаций:
    0
    Регистрация:
    21 мар 2008
    Сообщения:
    87
    2Rodin:
    В ветке ран. Прибиваю. После перезагрузки там уже другой ключ.
    2xorrax:
    Образ - файл приложения.
    ** Доперло ))
    Это что, его отродыши, получается? Оставить все как есть?
    Ага, вот есть sptd.sys...
    Great:
    afk68ban.sys - банит за афк? ))
    aquf7pe0.sys
    azwji2pxc.sys
    и т.д., всегда на a...
     
  8. Rodin

    Rodin New Member

    Публикаций:
    0
    Регистрация:
    30 апр 2007
    Сообщения:
    125
    Отдельный драйвер автоматически будет грузится только если есть запись в HKLM\SYSTEM\CurrentControlSet\Services. Ключ run только для юзермодного приложения.
     
  9. wasm_test

    wasm_test wasm test user

    Публикаций:
    0
    Регистрация:
    24 ноя 2006
    Сообщения:
    5.582
    тогда это скорее программа =) какая у файла Subsystem?
     
  10. Honorary_BoT

    Honorary_BoT New Member

    Публикаций:
    0
    Регистрация:
    21 мар 2008
    Сообщения:
    87
    Пардон, я ошибся, реально не в ран, а в Services.
    2Great: Ну нет, нет файла :dntknw:
     
  11. Honorary_BoT

    Honorary_BoT New Member

    Публикаций:
    0
    Регистрация:
    21 мар 2008
    Сообщения:
    87
    Хыхы, поэтому я в бегиннерс и написал, что здесь можно лошиться ))
     
  12. Rodin

    Rodin New Member

    Публикаций:
    0
    Регистрация:
    30 апр 2007
    Сообщения:
    125
    Вобщем пробуй так
    0) Пробуй поснимать хуки через Rku/gmer - может файл и появится
    1) Если нет, то запоминаешь текущее имя драйвера из system и из записи в реестре
    2) Вырубаешь комп выдергиванием вилки из розетки (чтоб исключить колбеки на выключение)
    3) Вынимаешь винт, подрубаешь к другому компу и сканишь весь диск на предмет файла с именами из пункт 1. (сканить из другой ОС на этом же винте хреново, т.к. может бутовая дрянь).
    4) если нашел - все ок, если нет снова грузишь винду
    5) если ситуация с загрузкой повторяется, значит есть еще одна компонента, которая работает в паре с первой. Нужно ее искать.
     
  13. Honorary_BoT

    Honorary_BoT New Member

    Публикаций:
    0
    Регистрация:
    21 мар 2008
    Сообщения:
    87
    2Rodin:
    Блин, так-то да, че-то я не додумался павер офф жестокий сделать =) Буду пробовать, если что новое появится, отпишусь. Спасибо.
     
  14. xorrax

    xorrax New Member

    Публикаций:
    0
    Регистрация:
    6 ноя 2008
    Сообщения:
    11
    Твоя система - твоё решение.
     
  15. Honorary_BoT

    Honorary_BoT New Member

    Публикаций:
    0
    Регистрация:
    21 мар 2008
    Сообщения:
    87
    And the oscar goes to xorrax.
    Это действительно был Daemon Toolz, или Alcohol 120% в моем случае. При снятии sptd.sys отвалились и все кракозябровые, я так понимаю, это были виртуальные приводы. Сбил с толку virustotal.com, который выдал мне подозрения на дампы кракозябровых дров.
    Всем большое спасибо!
     
  16. Osen

    Osen Рие

    Публикаций:
    0
    Регистрация:
    5 апр 2008
    Сообщения:
    283
    Адрес:
    Париж
    Honorary_BoT
    И ты еще говорил, что их RKU не видит...
     
  17. Honorary_BoT

    Honorary_BoT New Member

    Публикаций:
    0
    Регистрация:
    21 мар 2008
    Сообщения:
    87
    2Osen:
    Он и не видит. На диске образов не было.
    Другое дело sptd.sys. Но я откуда знал, что он - корень проблемы...