微点交流论坛 - 反病毒 - （已解决）诡异可疑XXXX.SYS，貌似过微点

微点交流论坛 » 反病毒 » （已解决）诡异可疑XXXX.SYS，貌似过微点

1/3

sbgg110
新手上路

积分 48
发帖 48
注册 2007-2-3

#1 （已解决）诡异可疑XXXX.SYS，貌似过微点

不多客套了，老微点预升级用户，非小白。不过也非专业人士。

终于完美解决了，
感谢微点客服和热心网友的帮助，
让我学到很多。

28日上线ADSL拨号发现突然小卡了下，且有几次重启后找不到已设置过的宽带拨号程序了。网络连接里只剩下本地连接。
（我用设置了固定IP应该不会卡一下或出现假死，而且即使假死几十秒也应该是开机后而不是拨号前。）
没在意，，，，
当晚使用火狐几乎每10分钟就报错
玩COD4发现帧数严重降低。
ADSL拨号和下线的时候都有假死现象
下线时候尤其有10秒左右、
这才意识到可能中标了

找来找去发现一个问题

进程信息SYSTEM里出现一个可疑类似病毒
C:\WINDOWS\SYSTEM32\DRIVERS\SPAN.SYS
但是在系统自启动区根本找不到这个可疑类驱动

打算用冰刃干掉它，重启，安全模式，打开冰刃无法找到这个文件
打开微点进进程信息SYSTEM里突然SPAN.SYS消失了
取而代之的是一个叫SQKZ.SYS的
我想也没关系总之先干掉他再说没想到点到SYSTEM里的这个SQKZ。SYS模块
点右键查找目标发现C:\WINDOWS\SYSTEM32\DRIVERS\下根本没这个文件
我确定已经打开显示所有隐藏文件了，且其他SYS及DLL均可显示，暂时排除了
病毒为隐藏文件一说。

几次重启后摸到一个规律
该可疑模块始终在SYSTEM里但是是以SP开头的4位随机字母搭配的以.SYS为结尾

恐惧不已从没见过这么厉害的东西
关键是上报都不可以根本找不到文件怎么上报啊。

样本平台 XP SP2 补丁全深度完整版

微点主动防御软件预升级
程序版本： 1.2.10576.0043
特征版本： 1.6.868.080930
更新时间： 2008-09-30 15:06:56
一会上图~

[ Last edited by sbgg110 on 2008-10-4 at 11:38 ]

附件 1: 20080930205025890.jpg (2008-9-30 20:48, 48.72 K,下载次数： 65)

附件 2: 20080930205413625.jpg (2008-9-30 21:01, 43.05 K,下载次数： 30)

附件 3: 20080930210329109.jpg (2008-9-30 21:01, 36.68 K,下载次数： 70)

※ ※ ※ 本文纯属【sbgg110】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-9-30 20:46

Unknown_YSHSA
新手上路

积分 19
发帖 19
注册 2008-9-15

#2

从图标上面看的话好像这个sys已经不存在了啊
你能不能找到这个sys文件呢
或者是驱动保护了该sys文件呢
要是能找到的话上传到微点了去分析看看
顺便把那个IRSIR.SYS上传好了
还有微点信息啊什么的只能是说可能是这个sys的问题
让微点整体地看下你的进程和模块
分析之后才能得出结果啊

※ ※ ※ 本文纯属【Unknown_YSHSA】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-9-30 21:16

sbgg110
新手上路

积分 48
发帖 48
注册 2007-2-3

#3

1肯定是存在的、只是肯定在内存里而且是随机命名释放的
2SYS后缀就是驱动的意思，没有什么被驱动保护一说。就是因为找不到这个SYS文件不然我就上报了呀
3 IRSIR.SYS是红外串口驱动吧？而且有版本号有描述有厂家我看着还满靠谱的
4 问题在于随机命名的SYS文件，而且每次重启都变名
肯定有鬼啊怀疑是子母病毒
开始怀疑是虚拟光驱卸载了还是一样~

和微点技术支持联系上了上报了IRSIR.SYS先

冰刃调查进程模块
发现更诡异
这个4位数字母的SYS 是最后一个加载的
而且无任何信息更加确定是个坏东西

启动冰刃后
又多出一个无法找到但是在内存里的SYS
命名ISDRV122.SYS,不过已经确定该文件是冰刃释放的，虚惊一场
貌似无公害
看图~

[ Last edited by sbgg110 on 2008-10-1 at 10:57 ]

附件 1: 20080930220129859.jpg (2008-9-30 22:02, 80.35 K,下载次数： 52)

附件 2: 20080930222819500.jpg (2008-9-30 22:27, 67.14 K,下载次数： 37)

※ ※ ※ 本文纯属【sbgg110】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-9-30 21:31

Unknown_YSHSA
新手上路

积分 19
发帖 19
注册 2008-9-15

#4

用Rootkit Unhooker 看看能不能把那几个sysDump下来啊

※ ※ ※ 本文纯属【Unknown_YSHSA】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-10-1 12:18

sbgg110
新手上路

积分 48
发帖 48
注册 2007-2-3

#5

感谢楼上指点
有进展了
Rootkit Unhooker 使用后
本次重启后 SYS名字叫SPEJ.SYS
无法关闭无法解锁

但是可以Dump （转储）
抓到一个1M的SYS文件
并且我截取了部分报告
显示无路径，我晕，居然还是无路径
而且有2个SPEJ和SPTD 地址一样大小一样~

Driver: C:\WINDOWS\system32\DRIVERS\serial.sys
Address: 0xF7532000
Size: 61440 bytes

Driver: spej.sys
Address: 0xF7291000
Size: 1048576 bytes

Driver: sptd
Address: 0xF7291000
Size: 1048576 bytes

Driver: C:\WINDOWS\system32\DRIVERS\srv.sys
Address: 0xBA642000
Size: 335872 bytes

等等继续上报

[ Last edited by sbgg110 on 2008-10-1 at 13:15 ]

附件 1: 20081001131915343.jpg (2008-10-1 13:17, 29.43 K,下载次数： 58)

※ ※ ※ 本文纯属【sbgg110】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-10-1 13:07

sbgg110
新手上路

积分 48
发帖 48
注册 2007-2-3

#6

Process Explorer 也找到了该SYS
但是可悲的是无法结束该进程555

附件 1: 20081001134438093.jpg (2008-10-1 13:43, 112.42 K,下载次数： 69)

※ ※ ※ 本文纯属【sbgg110】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-10-1 13:43

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#7

McAfee 诺顿有没有装过

Rootkit Unhooker新版 http://rapidshare.com/files/136965760/RkU3.8.341.552.rar.html

GMER 1.0.14.14536
http://www.gmer.net/

[ Last edited by 点饭的百度空间 on 2008-10-1 at 20:21 ]

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2008-10-1 20:19

sbgg110
新手上路

积分 48
发帖 48
注册 2007-2-3

#8

还是无效~

※ ※ ※ 本文纯属【sbgg110】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-10-1 21:12

yurong7777777
高级用户

积分 536
发帖 534
注册 2008-9-12

#9

可怜的孩子，真可怜

※ ※ ※ 本文纯属【yurong7777777】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-10-2 08:08

ouyang1993
新手上路

积分 6
发帖 6
注册 2008-8-30

#10

微点BZ没来？问他一下看看！

※ ※ ※ 本文纯属【ouyang1993】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-10-2 12:14

1/3

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号