Kernel mode memory patch (PDM.Keylogger)


(Witass52) #1

Witam!

Na samym początku chciałbym poinformować, że przejrzałem wszystkie tematy związane z tym "zjawiskiem" i nic nie znalazłem.

Mam następujący problem. Używam często programu Ventrilo (służy do komunikacji głosowej). Uruchamiając go parę dni temu mój antywirus "Avast!" wykrył swego rodzaju robaka, niestety nie pamiętam dokładnie nazwy... Reinstalowałem kilkakrotnie Ventrilo, lecz za każdym razem wyskakiwał komunikat, iż "Avast!" wykrył wirusa. Poczytałem troche na forach o tym problemie, lecz wszyscy doradzali, żeby pozbyć się "Avasta!" i zainstalować inny antywirus. Więc tak zrobiłem - zainstalowałem Kaspersky Anti-Virus 2010. Przeinstalowałem Ventrilo i tym razem da się je uruchomić, lecz gdy połączę się z serwerem to wyskakuje inny komunikat, również dotyczy pliku Ventrilo.exe. Raport Kasperskiego wygląda tak: KLIK.

Zgodnie z regulaminem zamieszczam logi:

Niestety nie wklejam GMER'a ponieważ za każdą próbą skanowania wiesza się komputer i wyskakuje "niebieski ekran śmierci" z jakimiś errorami i informacjami, że pamięć fizyczna została zrzucona, po czym muszę go restartować.

Jeżeli popełniłem jakiś błąd to przepraszam wszystkich, jestem kompletnie zielony w tych sprawach. Proszę o pomoc osoby, które mają o tym pojęcie, nie ukrywam, że na czasie też mi zależy.

Pozdrawiam


(deFco247) #2

Obydwa alarmy są nieprawdziwe.

Ze strony avasta to zwyczajny false positive (błąd w definicjach).

Kaspersky natomiast nie wykrywa infekcji jako takiej, tylko zgłasza potencjalnie niebezpieczne działanie: http://support.kaspersky.com/pl/faq/?qid=208281025

Nie czytasz w ogóle ogłoszeń. W tle działa sterownik napędów wirtualnych, który wywołuje te konkretne błędy:

Przed uruchomieniem GMER-a należy usuwać wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Uruchom SREng -> System Repair -> zakładka Browser Addons -> kolumna CLSID1 -> odszukaj i usuń:

{320AF880-6646-11D3-ABEE-C5DBF3571F46}

{320AF880-6646-11D3-ABEE-C5DBF3571F49}

{32099AAC-C132-4136-9E9A-4E364A424E17}

{2670000A-7350-4F3C-8081-5663EE0C6C49}

{32099AAC-C132-4136-9E9A-4E364A424E17}

{320AF880-6646-11D3-ABEE-C5DBF3571F46}

{320AF880-6646-11D3-ABEE-C5DBF3571F49}

{724D43AA-0D85-11D4-9908-00400523E39A}

{92780B25-18CC-41C8-B9BE-3C9C571A8263}

{E2E2DD38-D088-4134-82B7-F2BA38496583}

{FB5F1910-F110-11D2-BB9E-00C04F795683}

Poza tym nic nie ma w logach. W OTL kliknij CleanUp.


(Witass52) #3

Rozumiem, musiałem przeoczyć gdzieś owe ogłoszenie, moja wina. Uninstalowałem Daemon Tools i sterownik SPTD za pomocą narzędzia, które podałeś. Lecz nadal występuje ten problem; "Niebieski ekran śmierci".

Co do linku supportu Kaspersky - już widziałem to, tylko, że jest mały problem, tam napisali, że:

U mnie PID wygląda inaczej, raz wynosi PID: 2157, raz 865 itd. Nie mam pojęcia czy to ma jakieś znaczenie, i nie wiem dlaczego występują różne liczby.


(deFco247) #4

PID oznacza Process ID. Pozwala to na sprawdzenie jaki dokładnie proces jest źródłem tych alarmów.

W Menadżerze Zadań przechodzisz na zakładkę procesy i znajdziesz tam kolumnę PID, czyli Process ID.


(Witass52) #5

Niestety tak nie jest, przed połączeniem się z serwerem jest 39procesów i po połączeniu również

No czyli pozostaje mi dodanie do wykluczeń.

A mam jeszcze jedno pytanie - czy nero też może powodować ten niebieski ekran?