sbgg110
新手上路
积分 48
发帖 48
注册 2007-2-3
|
#11
微点来信了 IRSIR.SYS的分析了,4位字随机的SYS也分析了
查了下 马的名字都起过了 怎么就还在我电脑里有莫名奇妙的驱动呢。
强啊,现在的病毒还有版本号厂商和介绍,当初以为是红外串口驱动
而且有版本号有描述有厂家。这个骗子。太厉害了。
跟真的一样
于是安全模式下删除IRSIR.SYS
粉碎了。可怕的事情出现了!!!!重启后IRSIR.SYS还在!!!!而且还有那个更可怕的SXXX.SYS 4位的驱动一起都在!!!并且乐不思蜀和微点共存。于是重启到安全模式,用假体替代法强行删除掉IRSIR.SYS。新建一个垃圾文件同名。写保护。重启,啊~IRSIR.SYS没了。但是可恶的SXXX.SYS还在。因为它会自己重启后改名字,假体替代拿他没办法咯。
终于暂时解决掉这个烦人的随机SYS了。
解决方案
一共有3个可疑样本
1号样本 irsir.sys 在SYSTEM驱动文件夹里
2号样本S开头四位字随机后缀SYS。不在硬盘任何地方 貌似只在内存里
3号样本SPTD.SYS 存在SYSTEM驱动文件夹里 安全模式下会提示其名
是否加载 并且和2号样本大小不一样
流程如下
irsir.sys安全模式下删除 新建一个垃圾文件 只读 然后命名irsir.sys
在进入安全模式前系统会提示是SPTD.SYS
记住名字后按ESC选择不加载
进入安全模式找到改名字的SYS用上面一样的假体替代法解决
现在重启后发现没了 我把这个SPTD.SYS打包上报吧
1号样本irsir.sys:Rootkit.Win32.Delf
(微点来信报马,机器上微点在STSTEM里加载后没报)
2号样本4位字.SYS:Rootkit.Win32.Agent.bsp
(下载解压样本,机器上微点灭掉它了,但是STSTEM里加载的没报)
3号SPTD.SYS上报了 等回信中。
我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!我要发疯了!!
吃过饭重启 又发现了该死的SPRT.SYS!!!
真要疯了 我不上魔兽世界了。
尊敬的用户,您好!
您的邮件已经收到,感谢您及时联系微点客户服务人员!希望下面的邮件内容能够使您得到您所需要的帮助:根据您描述的情况及提供的信息,我们的技术工程师做了详细的测试与分析。详情如下:
irsir.sys:Rootkit.Win32.Delf
注释:
PE文件:Win32环境下的可移植执行体。
已损坏的PE文件:经第三方程序修改或人为造成文件损坏。
非PE格式的病毒文件:泛指网页木马、脚本病毒、宏病毒、恶意代码等。
非病毒文件:不含有恶意代码的文件。
[ Last edited by sbgg110 on 2008-10-3 at 22:43 ]
| |
※ ※ ※ 本文纯属【sbgg110】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2008-10-3 09:38 |
|
threeswords
中级用户
积分 400
发帖 387
注册 2008-3-25
|
#12
irsir.sys:按照MSDN上的说明,它是一个串口红外驱动程序。
sptd.sys:这是虚拟光驱软件daemon tools的一个驱动,其中sp是固定的,后2位名字一般是td,也可能是其他,即sp**.sys
当然不排除是病毒伪装
微点有时候分析结果会有问题,并不完全可信,有些不是病毒的程序,仍然给予命名,我已经碰到过几次了。
给楼主发个网址,楼主可以把你那几个驱动传上去扫描下
http://virscan.org/
| |
※ ※ ※ 本文纯属【threeswords】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-10-3 12:20 |
|
sbgg110
新手上路
积分 48
发帖 48
注册 2007-2-3
|
#13
忙了一个早上
结果走了弯路
我靠SPTD.SYS是虚拟光驱?
但是SPER SPWP SWKJ SPUW又是什么??
当这个S开头4位字随机的SYS又一次出现的时候
我彻底崩溃了。
楼上的谢谢,我等会就把三个样本上传过去检测
1号样本 微点报Rootkit.Win32.Delf
virscan.org如下
文件名称 : irsir.sys
文件大小 : 18688 byte
文件类型 : PE32 executable for MS Windows (native) Intel 80386 32-bit
MD5 : 0501f0b9ab08425f8c0eacbdcc04aa32
SHA1 : f19a33cb053f909412f43f16d1ccb28fa8d48f25
只有飞塔报了Suspicious 其他全过了。
2号样本 微点报Rootkit.Win32.Agent.bsp
这个样本就是我内存里的4位随机SYS 在硬盘上没见到 楼上的同学介绍转储工具弄下来的 并且在内存里的微点不报
文件名称 : SPEJ.SYS
文件大小 : 1048576 byte
文件类型 : PE32 executable for MS Windows (native) Intel 80386 32-bit
MD5 : 6afdc22465f7871a1b1c222606212da0
SHA1 : 167d8a3df2e58f76cddd81e96793b48ef6f0dcfe
Sunbelt 报VIPRE.Suspicious
飞塔 报Suspicious 其他全过了
3号样本 送交
文件名称 : sptd.sys
文件大小 : 717296 byte
文件类型 : PE32 executable for MS Windows (native) Intel 80386 32-bit
MD5 : 71e276f6d189413266ea22171806597b
SHA1 : 4e7e09fbbdae0ed76f11a8baf8f269508a9600a3
飞塔 Suspicious 其他全过了
[ Last edited by sbgg110 on 2008-10-3 at 13:21 ]
| |
※ ※ ※ 本文纯属【sbgg110】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-10-3 12:23 |
|
Unknown_YSHSA
新手上路
积分 19
发帖 19
注册 2008-9-15
|
#14
真想拿着那个样本看看 可惜驱动还没有学好 哎...
| |
※ ※ ※ 本文纯属【Unknown_YSHSA】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-10-3 14:01 |
|
threeswords
中级用户
积分 400
发帖 387
注册 2008-3-25
|
#15
从楼主的扫描结果来看,这几个驱动应该是正常文件
sptd.sys是daemon tools的驱动
sp**.sys也是,只是你删除了sptd.sys以后,它会换个名字再生成个驱动
给楼主一个链接去看看
http://news.newhua.com/news1/saf ... 199HHI1DB8FJ05.html
至于楼主碰到的问题到底是什么引起的,还不好说,楼主可以下载个360安全卫士,或者金山清理专家清理下,不行的话可以试着用winsock fix修复下,这个软件百度里到处是就不给下载地址了
| |
※ ※ ※ 本文纯属【threeswords】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-10-3 17:24 |
|
Unknown_YSHSA
新手上路
积分 19
发帖 19
注册 2008-9-15
|
#16
样本 光是文件名说明不了什么的 等你们的最终分析结果了 ...
| |
※ ※ ※ 本文纯属【Unknown_YSHSA】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-10-3 17:27 |
|
sbgg110
新手上路
积分 48
发帖 48
注册 2007-2-3
|
#17
谢谢15楼 ,大致理解了 很久前卸载了DT了
但是这个可恶的S开头的SYS还是在
罢了到此为止了 我也心力憔悴咯
| |
※ ※ ※ 本文纯属【sbgg110】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-10-3 17:53 |
|
独孤不平
注册用户
积分 128
发帖 122
注册 2008-10-3
|
#18 图片顺序配合序号顺序
| Quote: | Originally posted by sbgg110 at 2008-10-3 17:53:
谢谢15楼 ,大致理解了 很久前卸载了DT了
但是这个可恶的S开头的SYS还是在
罢了到此为止了 我也心力憔悴咯 |
|
就是这个问题,用以下方法就可以卸载,DT的卸载程序存在问题,要不就是故意不卸载干净,好多人都有过这类现象,具体还得DT官方.方法如下:
(1)下载RKU恢复SSDT
(2)下载微软工具Handle.exe根据如图命令得到sptd.sys句柄
(3)执行如图命令关闭句柄
(4)到此保护已经全部失效,删除文件
(5)重启计算机,运行RKU观察驱动未加载.
[ Last edited by 独孤不平 on 2008-10-3 at 18:21 ]
附件
1:
`1.JPG
(2008-10-3 18:19, 166.67 K,下载次数: 30)
附件
2:
2.JPG
(2008-10-3 18:20, 137.05 K,下载次数: 43)
附件
3:
3.JPG
(2008-10-3 18:20, 103.5 K,下载次数: 34)
附件
4:
4.JPG
(2008-10-3 18:20, 117.37 K,下载次数: 27)
附件
5:
5.JPG
(2008-10-3 18:21, 181.4 K,下载次数: 44)
| |
※ ※ ※ 本文纯属【独孤不平】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-10-3 18:19 |
|
sbgg110
新手上路
积分 48
发帖 48
注册 2007-2-3
|
#19
微点社区藏龙卧虎
扫地僧一大把
服了!
| |
※ ※ ※ 本文纯属【sbgg110】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-10-3 22:36 |
|
sbgg110
新手上路
积分 48
发帖 48
注册 2007-2-3
|
#20
谢18楼。
重启后等5分钟拨号,(ADSL拨号是有开机假死几分钟,为了错开这个正常情况)
仍旧拨号大卡20秒
并且断线的时候也卡20秒+
无限囧~~~~~
查了有关资料 删除本地连接里的IPV6协议
OK
[ Last edited by sbgg110 on 2008-10-4 at 09:31 ]
| |
※ ※ ※ 本文纯属【sbgg110】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2008-10-3 22:48 |
|
