Rootkit in Drivers ?

[Shtirlitz]

Установил AVG Anti-Rootkit Free - http://www.nowa.cc/showthread.php?t=6905.
Программа обнаружила один подозрительный файл - ageerryq.SYS (Hidden driver file)


Total Commander`ом в указанном каталоге этого файла не просматривается (хотя в настройка установлено "показывать скрытые и системные файлы").
Ну, оно понятно, что Rootkit-объекты позволяют хакеру предотвратить свое обнаружение.
Она внедряется в систему и перехватывает системные функции (Windows API). Перехват и модификация низкоуровневых API-функций, в первую очередь, позволяет такой программе достаточно качественно маскировать своё присутствие в системе.

Меня интересует такой вопрос:
1. Какими средствами можно увидеть (демаскировать) данный скрытый файл ?
2. Какими средствами можно просмотреть содержание данного скрытого файла ?

А вдруг это нужный файл от винды или какого-то установленного устройтва или нужного мне софта ?
Удалив его не будет ли проблем с работой операционки, устройств или безвредного моего софта ?

[Brandir]

Попробуй бесплатную антивирусную утилиту AVZ, более подробно о ней можно прочитать по следующей ссылке:
http://z-oleg.com/secur/avz/
А что касается безвредного софта, то ни один нормальный разработчик не будет использовать RootKit, поскольку почти каждый антивирус будет пытаться заблокировать работу этого самого софта, а значит проблемы с софтом и отрицательная реклама производителю в этом случае гарантированы.

[Shtirlitz]

Цитата: Сообщение от Brandir Попробуй бесплатную антивирусную утилиту AVZ,

Не ловит, как не ловят каспер, ДрВеб, Нод32. Руткит - не вирус !

[Albros]

Shtirlitz, руткиты должны отлавливаться Каспером (по крайней мере), насчет остальных не знаю. Предлагаю скопировать FARом этот файлик и проверить его через онлайн сканер на сайте Касперского:
http://www.kaspersky.ru/scanforvirus
А при сканировании с помощью AVZ у тебя был включен драйвер расширенного мониторинга процессов, и детектирования Rootkits ?
Вообще то может быть это вполне легальный драйвер, посмотри в его свойства, любая серьезная контора напишет свой копирайт.

[Nozorrog]

Цитата: Сообщение от Shtirlitz Программа обнаружила один подозрительный файл - ageerryq.SYS

Файл действительно достаточно редкий - Гугл его видит всего 2 раза, в топиках, созданных тобой в 2 форумах...
Попробуй его взять при помощи этого: http://www.spywareinfo.com/~merijn/downloads.html
Ну, и никто не мешает загрузиться с ЛивСД и взять его голыми руками.
Удачи :-))

[Shtirlitz]

Цитата: Сообщение от Nozorrog Ну, и никто не мешает загрузиться с ЛивСД и взять его голыми руками.

liveCD 6.4 его не видит, т.к. это практически та же винда, только с другого боку :-(
После каждлго удаления этого руткита - *.sys анти-руткитом, он зараза рождается снова с том же месте, но с другим именем.
В данный момент у меня там 220 файлов и запомнить какой из них на какое имя поменял свой ник - я не предтавляю...

Ща скачал:
1. Sophos Anti-Rootkit
2. Panda Anti-Rootkit
3. DarkSpy Anti-Rootkit

и конечно AVZ. Жаль, что авз не имеет монитора - это чистый сканер, притом сырой до безобразия... :-(

Может чего и получится - отпишу...

А больше чем его брать ?

[Nozorrog]

Цитата: Сообщение от Shtirlitz Не ловит, как не ловят каспер, ДрВеб, Нод32. Руткит - не вирус !

[IMG]http://img205.**************/img205/3818/rootkityc2.th.jpg[/IMG]
Каспер должен ловить! Если это действительно руткит, а не ложное срабатывание.
Удачи :-))

[Arnee]

Цитата: Сообщение от Shtirlitz и конечно AVZ. Жаль, что авз не имеет монитора - это чистый сканер, притом сырой до безобразия... :-(

Есть монитор,если внимательнее глянуть)) Ну и,к слову сказать - почти все антируткиты - сыроваты,огромная куча ложных срабатываний..