微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 没脾气了,这种情况到底怎么回事?  

 12  1/2  1  2  > 
作者:
标题: 没脾气了,这种情况到底怎么回事?
EESTU
注册用户





积分 92
发帖 92
注册 2007-10-4
#1  没脾气了,这种情况到底怎么回事?

如图所示,通过MP可以看到SYSTEM进程下有如下模块加载,其中图标蓝边白色方块的那三个开机就加载到进程,但是在MP显示的文件夹里有找不到,甚至在同分区里都找不到。更奇怪的是最下面那个白色方块的模块的名称是不断变化的,但是每次都是“A“开头。
PS:以前只有最下面那一个,发帖问过一次,但是没什么人回复,结果最近又出来两个新的,只好再来问了。不过新出来的那两个名字是不变的。

附件 1: Snap3.jpg (2008-3-26 13:19, 159.56 K,下载次数: 59)


※ ※ ※ 本文纯属【EESTU】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-26 13:19
查看资料  发短消息   编辑帖子
一个人的旅行
中级用户

新手上路


积分 379
发帖 365
注册 2005-11-2
#2  

你可以查看下此贴
http://bbs.micropoint.com.cn/showthread.asp?tid=13944

※ ※ ※ 本文纯属【一个人的旅行】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

纯属个人意见,欢迎参考
2008-3-26 13:59
查看资料  发短消息   编辑帖子
dsl5
高级用户




积分 578
发帖 520
注册 2007-6-16
来自 广州
#3  

Dump_WMILIB.sys正常
Dump_ATAPI.sys正常

A8CDBBPP.sys就不大正常了

楼主可以打开注册表,到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\目录下查找一下是否有A8CDBBPP.sys的项,把其Start值修改为4后重新启动系统。

重启后到C:\WINDOWS\system32\drivers把A8CDBBPP.sys压缩发送给微点分析。

※ ※ ※ 本文纯属【dsl5】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

该点饭点了叉烧饭
2008-3-26 14:09
查看资料  发送邮件  发短消息   编辑帖子
EESTU
注册用户





积分 92
发帖 92
注册 2007-10-4
#4  

那个注册表项倒是找到了,也改了,改了之后重启就又变了,那个文件也还是找不到。

※ ※ ※ 本文纯属【EESTU】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-27 17:25
查看资料  发短消息   编辑帖子
一个人的旅行
中级用户

新手上路


积分 379
发帖 365
注册 2005-11-2
#5  

有些文件在启动时会自动将自己删除,既然此注册表项已经不自动启动了,应该没什么问题了。

※ ※ ※ 本文纯属【一个人的旅行】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

纯属个人意见,欢迎参考
2008-3-27 17:32
查看资料  发短消息   编辑帖子
EESTU
注册用户





积分 92
发帖 92
注册 2007-10-4
#6  

问题是那个模块还在插入在进程里,不过是换了个名字,事实上这个模块每次开机都换一个名字,那个注册表的部分也是每次都变,不过第一个字母都是大写的A的。

※ ※ ※ 本文纯属【EESTU】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-3-27 20:54
查看资料  发短消息   编辑帖子
dsl5
高级用户




积分 578
发帖 520
注册 2007-6-16
来自 广州
#7  



  Quote:
Originally posted by EESTU at 2008-3-27 17:25:
那个注册表项倒是找到了,也改了,改了之后重启就又变了,那个文件也还是找不到。

重启后建议进入安全模式,应该能找那个文件出来.

※ ※ ※ 本文纯属【dsl5】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

该点饭点了叉烧饭
2008-3-27 22:49
查看资料  发送邮件  发短消息   编辑帖子
EESTU
注册用户





积分 92
发帖 92
注册 2007-10-4
#8  

去试了,MP显示的文件夹下还是没有那个文件。

※ ※ ※ 本文纯属【EESTU】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-4-6 18:06
查看资料  发短消息   编辑帖子
nasdaq
版主

版主


积分 1140
发帖 1118
注册 2006-4-6
#9  

正常文件,那个随机八位是虚拟光驱sptd.sys生成的自删除驱动。

sptd.sys加载后生成一个随机八位驱动,然后自删除。文件开机就消失的,在哪儿也找不到。作用我记得好像是 虚拟光驱的自我保护吧。Daemon Tools

※ ※ ※ 本文纯属【nasdaq】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-4-6 18:18
查看资料  发短消息   编辑帖子
kkek
注册用户




积分 51
发帖 51
注册 2007-5-27
#10  

近来逛一圈

※ ※ ※ 本文纯属【kkek】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-4-7 22:18
查看资料  发送邮件  发短消息   编辑帖子
 12  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号