suli53.sys - вирус или нет?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
suli53.sys - вирус или нет? - 2007-12-17 12:32:48.613333
|
|
|
wau777
Сообщений: 5
Оценки: 0
Присоединился: 2007-12-17 12:05:47.150000
|
Регулярно - раз в день XP вырубается, показывая характерный синий экран. Причиной остановки является неизвестный драйвер suli53.sys найти я его не смог ни в гугле, ни на своем компьютере.. что за ерунда, помогите разобраться. Что еще пишется:
… STOP ..
Address F70B8AC3 base at F70A1000 datestamp 4755699C
STOP: 0x0000007E (0xC0000005, 0xF70B8AC3, 0xF790EC78, 0xF790E974)
sfc -scannow делал. антивирусами проверял. все более менее нормально. (раньше были вирусы - удалил).
|
|
|
|
|
RE: suli53.sys - вирус или нет? - 2007-12-17 16:16:21.183333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Скачай какой-нить антируткит (DarkSpy, RkUnhooker, SysProt AntiRootkit), сними все хуки, найди злополучный драйвер и удали.
|
|
|
|
|
RE: suli53.sys - вирус или нет? - 2007-12-24 15:10:03.240000
|
|
|
sergeypetrov
Сообщений: 17
Оценки: 0
Присоединился: 2007-12-15 19:49:22.193333
|
сообщение удалено
|
|
|
|
|
RE: suli53.sys - вирус или нет? - 2007-12-24 15:53:02.430000
|
|
|
BlindSwitch
Сообщений: 13
Оценки: 0
Присоединился: 2006-04-30 12:10:51
|
гыыы. По-моему, без комментариев)))
|
|
|
|
|
RE: suli53.sys - вирус или нет? - 2007-12-24 16:33:58.413333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Я погуглил вот че нашел fwcore.sys это драйвер от AGAVA Firewall, а ekrn.exe от НОДа, так что ниче страшного. Но на всякий случай отправь оба файла на вирустотал.
|
|
|
|
|
RE: suli53.sys - вирус или нет? - 2007-12-29 11:45:57.676666
|
|
|
wau777
Сообщений: 5
Оценки: 0
Присоединился: 2007-12-17 12:05:47.150000
|
Антируткит скачал. RkUnhooker.
Вот Report:
>SSDT State
NtClose
Actual Address 0xF727D028
Hooked by: a347bus.sys
NtCreateKey
Actual Address 0xF727CFE0
Hooked by: a347bus.sys
NtCreatePagingFile
Actual Address 0xF7270B00
Hooked by: a347bus.sys
NtEnumerateKey
Actual Address 0xF72715DC
Hooked by: a347bus.sys
NtEnumerateValueKey
Actual Address 0xF727D120
Hooked by: a347bus.sys
NtOpenFile
Actual Address 0xF7270B40
Hooked by: a347bus.sys
NtOpenKey
Actual Address 0xF727CFA4
Hooked by: a347bus.sys
NtQueryKey
Actual Address 0xF72715FC
Hooked by: a347bus.sys
NtQueryValueKey
Actual Address 0xF727D076
Hooked by: a347bus.sys
NtSetSystemPowerState
Actual Address 0xF727C550
Hooked by: a347bus.sys
NtSetValueKey
Actual Address 0xF72B5D56
Hooked by: sptd.sys
>Shadow
>Processes
>Drivers
>Stealth
Unknown page with executable code
Address: 0x8927A59C
Size: 2660
>Hooks
ndis.sys–>NdisMIndicateStatus, Type: Inline - RelativeJump at address 0xF70E9A5F hook handler located in [Suli53.sys]
ntkrnlpa.exe+0x0002CC04, Type: Inline - RelativeJump at address 0x80503C04 hook handler located in [ntkrnlpa.exe]
ntkrnlpa.exe+0x0006DEBE, Type: Inline - RelativeJump at address 0x80544EBE hook handler located in [ntkrnlpa.exe]
ntkrnlpa.exe–>NtEnumerateKey, Type: Inline - RelativeJump at address 0x80622944 hook handler located in [Suli53.sys]
ntkrnlpa.exe–>NtOpenKey, Type: Inline - RelativeJump at address 0x8062349A hook handler located in [Suli53.sys]
[2924]iexplore.exe–>user32.dll–>DialogBoxIndirectParamA, Type: Inline - RelativeJump at address 0x7E3A6B50 hook handler located in [ieframe.dll]
[2924]iexplore.exe–>user32.dll–>DialogBoxIndirectParamW, Type: Inline - RelativeJump at address 0x7E382032 hook handler located in [ieframe.dll]
[2924]iexplore.exe–>user32.dll–>DialogBoxParamA, Type: Inline - RelativeJump at address 0x7E38B10C hook handler located in [ieframe.dll]
[2924]iexplore.exe–>user32.dll–>DialogBoxParamW, Type: Inline - RelativeJump at address 0x7E37555F hook handler located in [ieframe.dll]
[2924]iexplore.exe–>user32.dll–>MessageBoxExA, Type: Inline - RelativeJump at address 0x7E3A05FC hook handler located in [ieframe.dll]
[2924]iexplore.exe–>user32.dll–>MessageBoxExW, Type: Inline - RelativeJump at address 0x7E3A05D8 hook handler located in [ieframe.dll]
[2924]iexplore.exe–>user32.dll–>MessageBoxIndirectA, Type: Inline - RelativeJump at address 0x7E38A04A hook handler located in [ieframe.dll]
[2924]iexplore.exe–>user32.dll–>MessageBoxIndirectW, Type: Inline - RelativeJump at address 0x7E3B62AB hook handler located in [ieframe.dll]
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)
a347bus.sys - ну это от ALKOHOL 120% драйвер.
А с остальным что делать? Как снять Хуки?
suli53.sys - не находится как файл на компе.
но как драйвер висит. как его удалить, или снять хук?
С насупающим кстати!! :)
|
|
|
|
|
|
