[решено] Откуда берутся rootkit-процессы вида sp??.sys

[решено] Откуда берутся rootkit-процессы вида sp??.sys

ShaRP

Бывший модер

Сообщения: 1979
Благодарности: 135

С помощью сканера руткитов обнаружил у себя в системе процесс "spyj.sys", "берущийся из ниоткуда". Расследование показало, что подобный процесс появляется при каждой загрузке, а имена может носить разные ("spms.sys" "spgo.sys" "spze.sys" "sppa.sys" "sprq.sys" "spsw.sys"), как описано по-немецки на этой странице. Дальнейшее расследование подтвердило вывод в конце страницы: данные процессы порождаются драйвером SPTD, устанавливающимся при установке Daemon Tools, но не удаляющимся при его деинсталляции. И вирусами или вредоносными руткитами не являются.

Удаление драйвера SPTD описано здесь (English), на примере его более ранней версии.

-------
"I found it hard, it's hard to find. Oh well, whatever, never mind."

Отправлено: 16:30, 12-05-2008

Pili

Dr. Piligrim

Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать

ShaRP, странная тема, насчет sp??.sys - давно известный факт...
AVZ руткиты видит (не уверен насчет Rustock.C, но drweb заявил что их антивирус ловит :))
Можете проверить свою систему на чистоту, но нужны логи

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ

Отправлено: 16:39, 12-05-2008 | #2