Нашёл у себя в системе странные дрова. Когда смотрю на них в DriverView то никакой Информации кроме их место нахождения и адреса нет. В autoruns от sysinternals их нет и после каждого restart-a эти два меняют имя. В system32/drivers/ их тоже нет... screen1 http://www.directupload.net/images/061225/y69xFeO9.png screen2 http://www.directupload.net/images/061225/fGFFPe74.png Помоему все это похоже на rootkit и я не знаю как от него избавится. Может кто подскажет что делать? Заранее Спасибо =)
nOxnOx Можно просто удалить (если не нужен) или переименовать (если пригодится) sys-файл, имя-то его известно. Если не трудно, выложи его на форуме
В безопасном грузился но их все равно в /system32/drivers/ нет, а они остаются загруженными - тоесть DriverView их показывает. А как "dynamically unload driver" когда Win включён я не знaю... Попробую gilg В /system32/drivers/ их нет... Я немного дальше поиследовал и узнал что Process Explorer (Sysinternals) ставит тоже свой driver который тоже нельзя найти в /system32/drivers/ хотя DriverView показывает что он там. Тут он правда исчезает если закрыть Process Explorer. Starforce делает тоже самое.
Во-первых, они могут грузиться и в безопасном режиме. См. ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot Во-вторых, они могут быть не в /system32/drivers/, а где угодно. Проведи поиск по всем винтам. Драйвер сидит в ресурсах у экзешника, при старте он его сбрасывает на диск, загружает и удаляет с диска. Слей WinObjEx http://www.wasm.ru/toollist.php?list=21. Найди в нем драйвер и в свойствах посмотри LDR_DATA_TABLE_ENTRY.FullDllName - это будет полный путь к файлу драйвера, но, к сожалению полного может и не быть. Короче, если ты нашёл дровину на винте, тогда всё просто - нужно его разрегистрировать. Способов много. Самый простой: в WinObjEx на вкладке Registry щелкаешь на Jump To Key - попадешь в реестр на ветку этого драйвера, удаляешь её и ребутишься. Если драйвера нет на диске, будем инструктировать дальше
Вот это SSDT Hooks которые мне не знакомы, остальные ставит SPTD driver, Outpost и ntoskrnl.exe screen1 http://www.directupload.net/images/061228/NL6vz466.png Вот эти дрова. screen2 http://www.directupload.net/images/061228/NgdpUloc.png Одинаковый размер у них и References также. Не знаю что такое [???] и ?_unknown_code_page_? и 00000052. [???] в References появляются в driver-aх связаных с cdrom, usb, винчестером. Не rootkit ето, а copy protection... Code Hooks у меня только от Outpost screen3 http://www.directupload.net/images/061228/yw7Q4fP6.png Dump-нул я дровишки с RkU. Понятия не имеею, надо ли что нибуть там востановлять как у ехе-шников ImpRec-ом или нет... file1 http://www.megaupload.com/?d=VN88IEBP (другого hoster-а не нашел) Сравнил их HexWorkshop-oм. Почти одинаковые. Некоторые знаки отличаются. IDA показывает структуру программы но я не знаю что driver делает. Без WinApi я там ничего не пойму.
Извиняюсь, сразу не заметил этой фразы. Значит их кто-то сбрасывает на диск, ну и удаляет сразу же наверняка. Попробуй внимательно посмотреть всех кто автоматом запускается и выключи всех подозрительных. В настоящее время все ресурсы загрузки, выделенные для вашей страны (Russian Federation) уже используются. Повторите попытку через несколько часов или установите панель инструментов Megaupload, чтобы получить немедленный доступ к загрузке. После установки панели инструментов ограничение снимается!
Попробуй посмотреть Process Explorer'ом, не держит ли кто-то хендл девайса. В WinObjEx смотришь имя девайса, которым управляет драйвер (на вкладке Object см. DRIVER_OBJECT.DeviceObject). Ищешь имя девайса Process Explorer'ом (в окне поиска в колонке Type будет Handle). Но девайс может открываться и динамически каждый раз при общении с драйвером. Весьма велика вероятность, что драйвер общается со своим юзер-модным хозяином через Device Control. Если ядерным отладчиком умеешь пользоваться, посмотри, есть ли у них обработчик IRP_MJ_DEVICE_CONTROL (в SoftICE команда driver <имя/адрес драйвера>). Поставь туда бряк, и когда трапнешься, глянь, в контексте какого процесса ты находишься (в SoftICE команда process - нужный процесс будет подсвечен и помечен звёздочкой слева). Если это вдруг сервис, то процесс будет svchost. Тогда придется добраться до модуля, который вызвал DeviceIoControl. Для этого нужно ставить бряк на выход из функций (в SoftICE можно просто команду p ret). После p ret смотри где ты. Если уже вышел из ядра, то по коменде stack смотри трейс стека. Если ещё в ядре опять p ret. Короче, делай p ret/stack пока не увидишь что-то вроде этого. Код (Text): :stack FrameEBP RetEIP Symbol 0012DB30 00404944 ntdll!ZwDeviceIoControlFile+000C 0012DB8C 00404FB7 WinObjEx!.text+3944 0012DDC0 00404A69 WinObjEx!.text+3FB7 0012DE18 0040B46C WinObjEx!.text+3A69 0012E090 0040C97F WinObjEx!.text+A46C 0012E2EC 77D33A5F WinObjEx!.text+B97F 0012E318 77D3E6DB USER32!CreateWindowExA+258B 0012E384 77D3E54A USER32!CopyIcon+0267 0012E3CC 77D41C86 USER32!CopyIcon+00D6 0012E3FC 77D40679 USER32!GetMenuDefaultItem+0448 0012E458 50000880 USER32!CheckDlgButton+072F Тут видно, то WinObjEx вызвал DeviceIoControl.
делал, нету =) В ...\CurrentControlSet\Control\Services\ нашел. screen1 http://www.directupload.net/images/061230/DR5XnO6C.png То что с красными точками, это имена под которыми дривер уже раз работал. С зелеными, это имя под которым он у меня был загружен, когда я screen делал. В красной рамочке один из загруженных. У всех (их много) "было-загруженых" есть "Tag" и "ErrorControl", у включеных этого нет. Поиск не нашел. WinObjEx тоже показывает на /system32/drivers/. И "couldnt query registry information". Device: Device\Scsi\au7jimqv1Port4Path0Target0Lun0 Process Explorer имя не находид но если искать "scsi" то попадаются только Handle-ы из System. screen2 http://www.directupload.net/images/061230/VlZsQuKA.png С SoftIce-ом я не дружу, но так как ты время тратил, писал - попробую... VmWare+S'ice Из всей информации которую вы мне тут помогли собрать(пасиб =), особенно Four-F ), ясно, что это часть driver-ов от Daemon Tools или Alcohol и STPD. Имена они наверно меняет, потому-что от copy protection прячется и поэтому-же их два одновременно. --- А во забыл dump, кому интересно. file2 http://rapidshare.com/files/9546669/driver.rar.html file2 http://www.mytempdir.com/1141756
В дампе a2i4vv20 есть строка c:\dtscsi.pdb Гугл говорит: "dtscsi.sys is a part of Daemon tools software." В дампе au0k8qo4 есть строка c:\vaxscsi.pdb Гугл говорит: "VAXSCSI.SYS is a SCSI miniport driver. MAnufacturer: Alcohol Soft Co."
Если драйвер после сборки напильником не пилили, то в нём должен быть полный путь к pdb файлу. Так что можно просто поискать нужную подстроку в hex-вьювере.
