【問題】RootKit unhooker找到的.sys隱藏驅動程式

第 1 頁,共 2 頁 1 2 末頁末頁
顯示結果從第 1 筆 到 10 筆,共計 14 筆
  1. #1
    他會替月亮懲罰你 大灰芒果 的大頭照
    註冊日期
    2003-09-22
    所在地區
    慢到不想填
    討論區文章
    239

    【問題】RootKit unhooker找到的.sys隱藏驅動程式(已附上)

    各位大人跟大俠大家好,我的電腦一直都"怪怪的",今天用 RootKit unhooker v3.2 找到了一個叫 a58ne8gj.sys 的隱藏驅動程式,我想應該是有問題的木馬/病毒,本來想把檔案放上來給大家看,可是我進安全模式時卻沒有辦法在 \windows\system32\drivers\ 下看到它,不知道這是什麼程式?

    PS. 我第一次執行RootKit unhooker 時看到了 ad7o56nv.sys,重裝 RootKit unhooker 後卻變成了 a58ne8gj.sys,這到底是甚?感謝。
    PS2. 它"又變了"!現在叫"awmse8ca.sys"!

    PS3. 我用rootkit unhooker直接dump出來了,麻煩有興趣的大俠幫我研究它。(附上VirusTotal的掃描結果)
    PS4. 又找到了一個叫 wc98pp.dll 的檔案,跟 dumped.sys 壓縮成一包,重新上傳。(找得眼睛快瞎了 )

    結論:經查證 sptd.sys 與 wc98pp.dll 並不是木馬程式,謝謝大家,我的系統沒有問題。

    忘了補充:我的 OS 是 Windows XP pro SP2。


    附加圖片 附加圖片 rku_hidden_driver2.png   rkrevealer.png   rpc.png   rpc2.png  
    附加檔案 附加檔案
    此文章於 2007-03-12 04:35 PM 被 大灰芒果 編輯。 原因: 經查證 sptd.sys 與 wc98pp.dl l並不是木馬程式。

  2. #2
    會員
    註冊日期
    2005-03-04
    所在地區
    ADSL 8M/640
    討論區文章
    39

    回覆: 【問題】RootKit unhooker找到的.sys隱藏驅動程式

    sptd.sys ??
    是 DAEMON Tools 在用的,你有安裝這個嗎?

  3. #3
    他會替月亮懲罰你 大灰芒果 的大頭照
    註冊日期
    2003-09-22
    所在地區
    慢到不想填
    討論區文章
    239

    回覆: 【問題】RootKit unhooker找到的.sys隱藏驅動程式

    引用 作者:Vincent0101 瀏覽文章
    sptd.sys ??
    是 DAEMON Tools 在用的,你有安裝這個嗎?
    有~ 所以這是 sptd.sys 的特殊功能嗎?

  4. #4
    會員
    註冊日期
    2006-09-11
    所在地區
    cable
    討論區文章
    12

    回覆: 【問題】RootKit unhooker找到的.sys隱藏驅動程式

    传说中的随机生成文件名的bt
    这个文件只是生成物而已,仔细找主体,不然你没可能清理掉这个病毒。。

  5. #5
    他會替月亮懲罰你 大灰芒果 的大頭照
    註冊日期
    2003-09-22
    所在地區
    慢到不想填
    討論區文章
    239

    回覆: 【問題】RootKit unhooker找到的.sys隱藏驅動程式

    引用 作者:mofunzone 瀏覽文章
    传说中的随机生成文件名的bt
    这个文件只是生成物而已,仔细找主体,不然你没可能清理掉这个病毒。。
    我把它直接從記憶體內dump出來了。


    此文章於 2007-03-08 01:28 AM 被 大灰芒果 編輯。

  6. #6
    他會替月亮懲罰你 大灰芒果 的大頭照
    註冊日期
    2003-09-22
    所在地區
    慢到不想填
    討論區文章
    239

    回覆: 【問題】RootKit unhooker找到的.sys隱藏驅動程式

    又找到了一個叫 wc98pp.dll 的檔案,跟 dumped.sys 壓縮成一包,重新上傳。

  7. #7
    會員
    註冊日期
    2006-09-11
    所在地區
    cable
    討論區文章
    12

    回覆: 【問題】RootKit unhooker找到的.sys隱藏驅動程式

    Thank you for your submission. Below you can see the current status of the uploaded files.



    We received the following archive files:File ID Filename Size (Byte) Result
    217742 new_trojan.zip 77.120 OK


    A listing of files contained inside archives alongside their results can be found below:File ID Filename Size (Byte) Result
    217743 Dumped.sys 303.104 UNDER ANALYSIS
    217744 wc98pp.dll 51.712 UNDER ANALYSIS



    Please find a detailed report concerning each individual sample below: Filename Result
    Dumped.sys UNDER ANALYSIS


    The file 'Dumped.sys' has been determined to be 'UNDER ANALYSIS'.
    Filename Result
    wc98pp.dll UNDER ANALYSIS


    The file 'wc98pp.dll' has been determined to be 'UNDER ANALYSIS'.

    Please note that you will receive an email which will contain the results shown above. In case the final outcome of the analysis is not yet finished for all files the notification will be sent once ready.

  8. #8
    他會替月亮懲罰你 大灰芒果 的大頭照
    註冊日期
    2003-09-22
    所在地區
    慢到不想填
    討論區文章
    239

    回覆: 【問題】RootKit unhooker找到的.sys隱藏驅動程式

    引用 作者:mofunzone 瀏覽文章
    Thank you for your submission. Below you can see the current status of the uploaded files.



    We received the following archive files:File ID Filename Size (Byte) Result
    217742 new_trojan.zip 77.120 OK
    <恕刪…>
    我也有上報到McAfee的網站去… 不過 Kaspersky 之前對於 dumped.sys 這個檔案的檢查結果是:Dumped.sys 這個檔案已經損毀…

    今天下午我決定移除Daemon tools 4.08,當然就是為了要移除 sptd.sys,不過結果令我驚訝!因為我吧Daemon tools移除以後,重開機發現 sptd.sys 還活著,透過硬體裝置管理員想手動停用/解除安裝"失敗!(我沒裝Alcohol 120%)

    而且在手動解除安裝 sptd.sys 的過程中,出現了熟悉的"記憶體錯誤"!位址:0x!@#$@!$@! 之類的東西。(是巧合嗎?晚點我把檔案也一併附上好了…)

    另外,當我刪掉 wcp98.dll 這個檔案以後,重開機後系統的服務載入會嚴重延遲,工作列不能正常回應,只好又把它裝回去。
    此文章於 2007-03-08 06:51 PM 被 大灰芒果 編輯。

  9. #9
    萌え尽き症候群 琥珀 的大頭照
    註冊日期
    2002-08-17
    所在地區
    中和區
    討論區文章
    10,022
    用指令 sc queryex type= driver > svc.log 檢查載入執行的核心驅動程式。
    2002.8.17 - 2024.1.9

    繪本:Ghost cemetery



    畫集:日めくり 365


    名簿:創彩少女庭園

  10. #10
    會員
    註冊日期
    2005-03-04
    所在地區
    ADSL 8M/640
    討論區文章
    39

    回覆: 【問題】RootKit unhooker找到的.sys隱藏驅動程式

    而且在手動解除安裝 sptd.sys 的過程中,出現了熟悉的"記憶體錯誤"!位址:0x!@#$@!$@! 之類的東西。(是巧合嗎?晚點我把檔案也一併附上好了…)
    把 sptd.sys 設成 Disable 再重開機,我之前的經驗是 Windows 運作時不論從 Start->Stop 或 Stop->Start 都會造成系統 crash

    sptd.sys 在我的系統內的大小是 646,392 bytes,你參考看看

    個人覺得這個檔案應該不會有問題,不用太在意啦...



類似的主題

  1. 【問題】囧! ThinkPad T43p 2668 驅動程式找到瘋掉 !
    作者:mabcx6y 所在討論版:-- NB 筆記型電腦 & PDA 討 論 版
    回覆: 3
    最後發表: 2008-02-09, 06:20 PM
  2. Rootkit Unhooker
    作者:琥珀 所在討論版:-- 軟 體 分 享 版
    回覆: 0
    最後發表: 2007-02-02, 06:22 PM
  3. 【求助】cmuda.sys Cmedia內建音效卡的驅動程式檔案之一
    作者:29988122 所在討論版:-- HELP ME 電 腦 軟 硬 體 急 救 版
    回覆: 0
    最後發表: 2004-09-28, 06:17 PM
  4. 【求助】尋找PS手把的驅動程式(For XP)
    作者:shingoo 所在討論版:-- HELP ME 電 腦 軟 硬 體 急 救 版
    回覆: 2
    最後發表: 2004-04-11, 12:52 AM

 

svc rootkit

rootkit sys

發表文章規則

  • 不可以發表新主題
  • 不可以回覆文章
  • 不可以上傳附加檔案
  • 不可以編輯自己的文章
  •