PDA

【問題】RootKit unhooker找到的.sys隱藏驅動程式



贊助商連結

頁 : [1] 2
大灰芒果
2007-03-07, 02:10 AM
各位大人跟大俠大家好,我的電腦一直都"怪怪的",今天用 RootKit unhooker v3.2 找到了一個叫 a58ne8gj.sys 的隱藏驅動程式,我想應該是有問題的木馬/病毒,本來想把檔案放上來給大家看,可是我進安全模式時卻沒有辦法在 \windows\system32\drivers\ 下看到它,不知道這是什麼程式?

PS. 我第一次執行RootKit unhooker 時看到了 ad7o56nv.sys,重裝 RootKit unhooker 後卻變成了 a58ne8gj.sys,這到底是甚?感謝。
PS2. 它"又變了"!現在叫"awmse8ca.sys"!

PS3. 我用rootkit unhooker直接dump出來了,麻煩有興趣的大俠幫我研究它。(附上VirusTotal的掃描結果)
PS4. 又找到了一個叫 wc98pp.dll 的檔案,跟 dumped.sys 壓縮成一包,重新上傳。(找得眼睛快瞎了:( )

結論:經查證 sptd.sys 與 wc98pp.dll 並不是木馬程式,謝謝大家,我的系統沒有問題。

忘了補充:我的 OS 是 Windows XP pro SP2。

贊助商連結

Vincent0101
2007-03-07, 03:30 PM
sptd.sys ??
是 DAEMON Tools 在用的,你有安裝這個嗎?
大灰芒果
2007-03-07, 03:32 PM
sptd.sys ??
是 DAEMON Tools 在用的,你有安裝這個嗎?

有~ 所以這是 sptd.sys 的特殊功能嗎?
mofunzone
2007-03-07, 03:57 PM
传说中的随机生成文件名的bt
这个文件只是生成物而已,仔细找主体,不然你没可能清理掉这个病毒。。
大灰芒果
2007-03-07, 11:55 PM
传说中的随机生成文件名的bt
这个文件只是生成物而已,仔细找主体,不然你没可能清理掉这个病毒。。

我把它直接從記憶體內dump出來了。
大灰芒果
2007-03-08, 04:42 AM
又找到了一個叫 wc98pp.dll 的檔案,跟 dumped.sys 壓縮成一包,重新上傳。
mofunzone
2007-03-08, 07:30 AM
Thank you for your submission. Below you can see the current status of the uploaded files.



We received the following archive files:File ID Filename Size (Byte) Result
217742 new_trojan.zip 77.120 OK


A listing of files contained inside archives alongside their results can be found below:File ID Filename Size (Byte) Result
217743 Dumped.sys 303.104 UNDER ANALYSIS
217744 wc98pp.dll 51.712 UNDER ANALYSIS



Please find a detailed report concerning each individual sample below: Filename Result
Dumped.sys UNDER ANALYSIS


The file 'Dumped.sys' has been determined to be 'UNDER ANALYSIS'.
Filename Result
wc98pp.dll UNDER ANALYSIS


The file 'wc98pp.dll' has been determined to be 'UNDER ANALYSIS'.

Please note that you will receive an email which will contain the results shown above. In case the final outcome of the analysis is not yet finished for all files the notification will be sent once ready.
大灰芒果
2007-03-08, 05:25 PM
Thank you for your submission. Below you can see the current status of the uploaded files.



We received the following archive files:File ID Filename Size (Byte) Result
217742 new_trojan.zip 77.120 OK
<恕刪…>


我也有上報到McAfee的網站去… 不過 Kaspersky 之前對於 dumped.sys 這個檔案的檢查結果是:Dumped.sys 這個檔案已經損毀…:eye:

今天下午我決定移除Daemon tools 4.08,當然就是為了要移除 sptd.sys,不過結果令我驚訝!因為我吧Daemon tools移除以後,重開機發現 sptd.sys 還活著,透過硬體裝置管理員想手動停用/解除安裝"失敗!(我沒裝Alcohol 120%)

而且在手動解除安裝 sptd.sys 的過程中,出現了熟悉的"記憶體錯誤"!位址:0x!@#$@!$@! 之類的東西。(是巧合嗎?晚點我把檔案也一併附上好了…)

另外,當我刪掉 wcp98.dll 這個檔案以後,重開機後系統的服務載入會嚴重延遲,工作列不能正常回應,只好又把它裝回去。:|||:
琥珀
2007-03-08, 06:22 PM
用指令 sc queryex type= driver > svc.log 檢查載入執行的核心驅動程式。
Vincent0101
2007-03-08, 07:44 PM
而且在手動解除安裝 sptd.sys 的過程中,出現了熟悉的"記憶體錯誤"!位址:0x!@#$@!$@! 之類的東西。(是巧合嗎?晚點我把檔案也一併附上好了…)

把 sptd.sys 設成 Disable 再重開機,我之前的經驗是 Windows 運作時不論從 Start->Stop 或 Stop->Start 都會造成系統 crash

sptd.sys 在我的系統內的大小是 646,392 bytes,你參考看看

個人覺得這個檔案應該不會有問題,不用太在意啦...