Драйвер с именем " " (9 пробелов).

← →
Riply © (2007-05-24 09:05) [0]

Здравствуйте !
Появилось в системе чудо-юдо с сабжевым именем :(
(Как я докатилась до этого(его появления) - другой вопрос :)
Информацию о нем я получаю с помощью: QuerySystemInformation(SystemModuleInformation,...
Кроме не очень стандартного имени, оно от своих собратьев ничем не отличается.
Разумеется файла, с таким именем я не нахожу.
И уж очень мне хочеться извести эту дрянь.
Подскажите, пожалуйста, как можно реализовать мою мечту ?
P.S.
Norton, RootkitReveale - молчат, как партизаны :(

← →
Игорь Шевченко © (2007-05-24 09:29) [1]

А что говорит Process Explorer ? :) Если встать на процесс System и посмотреть в нижней части DLL ?

← →
Riply © (2007-05-24 09:36) [2]

> [1] Игорь Шевченко © (24.05.07 09:29)
C:\Windows\System32\Drivers\ (9 пробелов :)
Load Address 0xF977B000
Mapped Size 18000
Mapping Type Image
Все остальное n/a
Закладка "Strings" - Error open file

← →
Игорь Шевченко © (2007-05-24 09:43) [3]

ищи в автозагрузке, кто тебе такое устроил. Потому как похоже, что такой драйвер загружается на лету, а не через стандартные механизмы старта системы

← →
Riply © (2007-05-24 09:46) [4]

> [3] Игорь Шевченко © (24.05.07 09:43)
Спасибо. Попробую.

← →
Riply © (2007-05-24 10:33) [5]

>[3] Игорь Шевченко © (24.05.07 09:43)
То, что удалось найти и вызвало подозрения:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B 85CFCF6
ProductName - 12 пробелов
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423 -211E-46B6-9AE0-38568BC5CF6F}
Display Name - 12 пробелов
ModifyPath - MsiExec.exe /X{E9F81423-211E-46B6-9AE0-38568BC5CF6F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Media Device Manager\Plugins\SP\MSPMSP\KBDeviceList
SanDiskIM - SanDisk ;ImageMate III ;2.3
SanDiskIMb - E-USB Fl;ash ; ( до ; - 13 пробелов, после нее - 4 )

← →
umbra © (2007-05-24 10:50) [6]

а если попробовать это удалить? в командной строке выполнить
MsiExec.exe /X {E9F81423-211E-46B6-9AE0-38568BC5CF6F}

(насчет фигурных скобок не уверен). Эта программа будет деинсталлирована.

← →
Riply © (2007-05-24 10:52) [7]

> [6] umbra © (24.05.07 10:50)
А где взять уверенность(хотя бы процентов на 90), что мы удалим то,
что хотим, а не что-то жизненно важное ?

← →
umbra © (2007-05-24 10:59) [8]

> А где взять уверенность(хотя бы процентов на 90), что мы
> удалим то,
> что хотим, а не что-то жизненно важное ?
>

собственно, нигде :) Но в винде ничто жизненно важное (кроме драйверов), по-моему, из msi-пакетов не ставится. К тому же, как говорит гугл, SanDisk - это марка флэшек и карт памяти. Так что в [5] - это, скорее всего драйвер взаимодействия через USB с каким нибудь мп3-плейером.

← →
IceBeerg © (2007-05-24 11:01) [9]

Попробуй AVZ - http://z-oleg.com/secur/avz/index.php может, что найдет...

← →
Riply © (2007-05-24 12:36) [10]

А реально ли поступить так:
Попробовать получить образ этого драйвера(пока не знаю как) из System
по его базовому адресу, посмотреть, например, его таблицу экспорта(или что-то другое),
и перебирая драйвера в C:\Windows\System32\Drivers, сравнивать таблицы ?

← →
umbra © (2007-05-24 12:48) [11]

> получить образ этого драйвера посмотреть, например, его таблицу >экспорта(или что-то другое),
>и перебирая драйвера в C:\Windows\System32\Drivers, сравнивать таблицы

легче просто взять некую достаточно длинную последовательность байт из дампа и искать в файлах ее. Но проблема может быть в том, что такого файла на диске может и не быть. Как говорилось в [3], драйвер, скорее всего, загружается при старте некоей программы и совсем не факт, что его образ хранится в отдельном файле, что он не зашифрован и т.д.

← →
Riply © (2007-05-24 12:55) [12]

В любом случае, сначала надо суметь получить его образ. Как можно к этому подступиться ?

← →
homm © (2007-05-24 12:58) [13]

> А реально ли поступить так:
> Попробовать получить образ этого драйвера(пока не знаю как)
> из System
> по его базовому адресу, посмотреть, например, его таблицу
> экспорта(или что-то другое),
> и перебирая драйвера в C:\Windows\System32\Drivers, сравнивать
> таблицы ?

Мда, совсем не привыкла искать легких путей :) Я бы н атвоем месте образ диска сделал бы, а потом просто драйвер хлопнул, как в [6] предложили. Если что, востановил бы.

> [13] homm © (24.05.07 12:58)
>Мда, совсем не привыкла искать легких путей :)
У этого пути есть большое преимущество: мы на нем еще и новые знания приобретем :)

Это чудо зовут atapi.sys :)
Ничего не понимаю :(
Все выглядит так:
Живет себе спокойно atapi.sys, как и все порядочные дравера.
После "заражения" его имя в "списке драйверов" затирается пробелами.
(насколько я понимаю, перехватом SystemQueryInfo совсем не в User Mode)
Зато в таблице Handle"ов у процесса System появляатся новый Object типа File
с именем (как Вы уже догадались) atapi.sys :)
Может мне кто нибудь объяснить: какой смысл в подобных операциях ?

> Riply © (25.05.07 00:59) [15]
> с именем (как Вы уже догадались) atapi.sys :)
> Может мне кто нибудь объяснить: какой смысл в подобных операциях
> ?

Nero или Alcohol такие операции проделывают над стандартным драйвером atapi.sys, подменяя его своим, доморощенным. Правда, через некоторое время по непонятным причинам DVD диски начинают писаться по сорок минут-часу, но это ничего. Что ещё вы от винды хотите?

> atapi.sys

это драйвер для управления cd/dvd приводами на низком уровне. нечто вроде замены DeviceIOControl.

> Может мне кто нибудь объяснить: какой смысл в подобных операциях
> ?
>

это может быть:
1) защита типа StarForce, пытающаяся предотвратить копирование дисков
2) виртуальный сдром, который хочет использовать копию диска, защищаемого 1.
3) что-то еще. :)

> Игорь Шевченко © (25.05.07 10:13) [18]
> Помойся, приятель.

Не лей мне соль на рану.
Воды горячей нет третью неделю. Спасибо ЖКХ.

Драйвер с именем " " (9 пробелов). Найти похожие ветки