» Хитрый вирус/руткит - драйвер ?!!

Уже не в первый раз встречается мне в системах WinXP хитрый драйвер, с вирусоподобным поведением:
- имя сервиса и название файла при каждом старте системы разное - набор цифр и букв
- сам файл не виден
при попытке просмотра файла с таким же названием в FAR-е можно увидеть содержимое файла, оно почему-то совпадает (до байта не проверял) с содержимым файла atapi.sys
Прилагаю картинку иллюстрирующую вышесказанное


Танцы с бубном в произвольном сочетании искоренению зла не содействуют.
Заранее отмечу что системы были мной переустановлены. Так что что-то там проверить и посмотреть не могу.

Хотелось бы понять что это такое и как победить! Кто встречал подобное - откликнитесь!

naia

На наличие руткитов проверял систему? АнтиВирусник что пишет по поводу?

naia
какой антивирус используется? что еще из программ безопасности установлено? некоторые из них тоже используют руткитоподобные механизмы, Доктор Веб к примеру

Patrick
Используется обычно KAV 7 (обновлен). Антивирусник ничего не пишет. Все другое обычно мною почищено. А вот эту заразу не получается одолеть - следов никаких. Кроме вышеназванных ... Или может я их не вижу.

Кстати, скрин c программы AutoRuns for Windows By Mark Russinovich. Пользую также IceSword - тоже никаких следов. Предполагаю что следы тщательно скрываются.

pop2ROOT
Вот Доктора Веба давно не приходилось копать, для него такое характерно? Сомнительно.


В следующий раз сниму слепок системы. А то даже погуглить по имени файла бесполезно.

naia

Цитата:

Вот Доктора Веба давно не приходилось копать, для него такое характерно? Сомнительно.

бесплатная утилита от дрвеба на данный момент полноценный антивирь
загрузи комп в сейф моде останови свой антивирь и запусти это (после запуска выбери полную проверку):
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

Лучше загрузиться с какого-нибудь live-cd, а не в сейф моде. Дополнительно к CureIT от DrWeb неплохо было бы заюзать и утилитку AVZ лежит тут + инструкции по использованию+туча всякого полезняка по теме излечения вирусов. Почитай ещё здесь virusinfo.info, ИМХО лучший портал по этой теме. Удачи.

naia
я бы не говорил, если бы точно не знал.
у каспера наверняка такая же фигня - этот драйвер все время переименовывается произвольно, поэтому о нем инфу и не найти нигде
мне его фаер отловил, но его никогда уже не было на прежнем месте, не помню уже как я допер что это доктор, кажется срабатывание было увязано с проверкой файлов по запросу, типа того. Потом нашел в сети подтверждение.

NegoroX
Не знаю почему но мне кажется что против этого драйвера запускать антивирус сканер бесполезно!
Уж если б я тело вируса получил - то на VIRUSTOTAL.COM я бы его проверил.

SergiuZ
Спасибо, virusinfo.info на досуге почитаю.

pop2ROOT
Сужу по примеру касперского: System Service Descriptor Table - видно что драйвера антивируса klif.sys и kl1.sys подменяют адреса процедур используемых для обнаружения вирусной активности. Могу перечислить...
С другой стороны - эти драйвера подписаны, и при проверке я склонен им доверять больше чем какому-нибудь неподписанному драйверу с белибердой в назвении файла. Так вот, этот "неуловимый" драйвер в подменах замечен небыл.

А вот и другой компьютер на котором я обнаружил такую же фигню. На этот раз я постараюсь проделать все вышеперечисленное для изучения заразы (а может я всего лишь заблуждаюсь).
Итак:


Хочу отметить что в отличии от случая описанного в первом сообщении, доступно описание и подпись издателя. Файлик однако все равно не найти.


Проверка показала что содержимое файлика доступное по SHIFT+F4 в FAR-e ничем не отличается от содержимого файла atapi.sys.

Будем копать дальше.

вот, накопал на virusinfo.info:
_http://virusinfo.info/showthread.php?t=24229
по всей видимости это Daemon tools