Drongo
06-07-2009, 12:30
Всем доброго здоровья. Нужен совет.
Есть программа RSIT (http://images.malwareremoval.com/random/RSIT.exe) ~760 КБ. Программа используется в лечении вредоносного ПО. Создаёт логи. В созданном ею логе log.txt есть такие строки:
...
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R0 sqtydunx;sqtydunx;C:\WINDOWS\System32\drivers\sqtydunx.sys [2001-10-20 23424]
R1 anftdird.sys;anftdird.sys; \??\C:\WINDOWS\system32\drivers\anftdird.sys []
R1 intelppm;Драйвер Intel процессора; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40704]
R1 ISODrive;ISO DVD/CD-ROM Device Driver; \??\C:\Program Files\UltraISO\drivers\ISODrive.sys []
R1 klif;Klif; \??\C:\WINDOWS\system32\drivers\klif.sys []
R1 prodrv04;Star Force copy protection driver v4; C:\WINDOWS\System32\drivers\prodrv04.sys [2009-03-16 114496]
R1 prodrv06;StarForce Protection Environment Driver v6; C:\WINDOWS\System32\drivers\prodrv06.sys [2003-03-05 49600]
R1 Tcpip6;Драйвер протокола IPv6 (Microsoft); C:\WINDOWS\system32\DRIVERS\tcpip6.sys [2008-11-22 225856]
R1 VBoxDrv;VirtualBox Service; C:\WINDOWS\system32\DRIVERS\VBoxDrv.sys [2008-10-23 96016]
R2 rspndr;Ответчик обнаружения топологии уровня связи; C:\WINDOWS\system32\DRIVERS\rspndr.sys [2008-10-11 62848]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2008-01-25 4127488]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2008-08-21 3299840]
R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 24592]
R3 rtl8139;Realtek RTL8139(A/B/C)-based PCI Fast Ethernet адаптер, драйвер для NT; C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2008-04-14 20992]
R3 tunmp;Драйвер адаптера минипорта Microsoft Tun; C:\WINDOWS\system32\DRIVERS\tunmp.sys [2008-12-25 12288]
R3 usbehci;Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;USB2 концентратор; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbuhci;Драйвер минипорта Microsoft USB универсального хост-контроллера; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-14 20608]
S3 MODEMCSA;Устройство фильтрации потока Unimodem; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128]
S3 usbscan;Драйвер USB-сканера; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
S3 USBSTOR;Драйвер запоминающих устройств для USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 WimFltr;WimFltr; C:\WINDOWS\system32\DRIVERS\wimfltr.sys [2006-11-02 128104]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2007-06-18 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2007-06-18 82944]
S4 sr;Драйвер фильтра восстановления системы; C:\WINDOWS\system32\DRIVERS\sr.sys [2008-04-14 73472]
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 6to4;Служба поддержки IPv6; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 AVP;Kaspersky Anti-Virus 7.0; C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe [2008-02-08 227856]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2009-06-10 152984]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 WMPNetworkSvc;Windows Media Player Network Sharing Service; C:\Program Files\Windows Media Player\wmpnetwk.exe [2006-10-18 913408]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S3 ZillyaService;Zillya! Antivirus Core Service; C:\Program Files\Zillya Antivirus\AVService.exe [2009-04-22 118784]
S4 AcrSch2Svc;Acronis Scheduler2 Service; C:\Program Files\Common Files\Maxtor\Schedule2\schedul2.exe [2007-08-30 410904]
S4 pr2ajtsc;Stalker (Pro) Drivers Auto Removal (pr2ajtsc); C:\WINDOWS\system32\pr2ajtsc.exe [2007-08-15 411000]
Мне нужно понять как правильно интерпретировать несколько значений служб и драйверов. Некоторые я понял:
[R | S] - [2 | 3 | 4] - Где [R | S] - состояние службы, а [2 | 3 | 4] - тип запуска. Это мне понятно:
R2 - состояние - запущена - тип запуска - Авто
R3 - состояние - запущена - тип запуска - Вручную
S4 - состояние - остановлена - тип запуска - Отключена
Непонятные для меня моменты в значениях 0=Boot, 1=System - R0, R1.
R0 - состояние - запущена - тип запуска - ????
R1 - состояние - запущена - тип запуска - ????Что означает Boot и System. Если можно попроще объяснить, чтобы было понятно. Со значением R1 думаю, что такие драйвера запускаются тогда, когда в этом возникает необходимость, их запуск контролируется системой. Это только предположение. Так как под этим значением есть виртуальный привод UltraISO и VirtualBox.
В общем, прошу помощи в пояснении этих моментов.
Есть программа RSIT (http://images.malwareremoval.com/random/RSIT.exe) ~760 КБ. Программа используется в лечении вредоносного ПО. Создаёт логи. В созданном ею логе log.txt есть такие строки:
...
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R0 sqtydunx;sqtydunx;C:\WINDOWS\System32\drivers\sqtydunx.sys [2001-10-20 23424]
R1 anftdird.sys;anftdird.sys; \??\C:\WINDOWS\system32\drivers\anftdird.sys []
R1 intelppm;Драйвер Intel процессора; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40704]
R1 ISODrive;ISO DVD/CD-ROM Device Driver; \??\C:\Program Files\UltraISO\drivers\ISODrive.sys []
R1 klif;Klif; \??\C:\WINDOWS\system32\drivers\klif.sys []
R1 prodrv04;Star Force copy protection driver v4; C:\WINDOWS\System32\drivers\prodrv04.sys [2009-03-16 114496]
R1 prodrv06;StarForce Protection Environment Driver v6; C:\WINDOWS\System32\drivers\prodrv06.sys [2003-03-05 49600]
R1 Tcpip6;Драйвер протокола IPv6 (Microsoft); C:\WINDOWS\system32\DRIVERS\tcpip6.sys [2008-11-22 225856]
R1 VBoxDrv;VirtualBox Service; C:\WINDOWS\system32\DRIVERS\VBoxDrv.sys [2008-10-23 96016]
R2 rspndr;Ответчик обнаружения топологии уровня связи; C:\WINDOWS\system32\DRIVERS\rspndr.sys [2008-10-11 62848]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2008-01-25 4127488]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2008-08-21 3299840]
R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 24592]
R3 rtl8139;Realtek RTL8139(A/B/C)-based PCI Fast Ethernet адаптер, драйвер для NT; C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2008-04-14 20992]
R3 tunmp;Драйвер адаптера минипорта Microsoft Tun; C:\WINDOWS\system32\DRIVERS\tunmp.sys [2008-12-25 12288]
R3 usbehci;Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;USB2 концентратор; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbuhci;Драйвер минипорта Microsoft USB универсального хост-контроллера; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-14 20608]
S3 MODEMCSA;Устройство фильтрации потока Unimodem; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128]
S3 usbscan;Драйвер USB-сканера; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
S3 USBSTOR;Драйвер запоминающих устройств для USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 WimFltr;WimFltr; C:\WINDOWS\system32\DRIVERS\wimfltr.sys [2006-11-02 128104]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2007-06-18 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2007-06-18 82944]
S4 sr;Драйвер фильтра восстановления системы; C:\WINDOWS\system32\DRIVERS\sr.sys [2008-04-14 73472]
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 6to4;Служба поддержки IPv6; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 AVP;Kaspersky Anti-Virus 7.0; C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe [2008-02-08 227856]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2009-06-10 152984]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 WMPNetworkSvc;Windows Media Player Network Sharing Service; C:\Program Files\Windows Media Player\wmpnetwk.exe [2006-10-18 913408]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S3 ZillyaService;Zillya! Antivirus Core Service; C:\Program Files\Zillya Antivirus\AVService.exe [2009-04-22 118784]
S4 AcrSch2Svc;Acronis Scheduler2 Service; C:\Program Files\Common Files\Maxtor\Schedule2\schedul2.exe [2007-08-30 410904]
S4 pr2ajtsc;Stalker (Pro) Drivers Auto Removal (pr2ajtsc); C:\WINDOWS\system32\pr2ajtsc.exe [2007-08-15 411000]
Мне нужно понять как правильно интерпретировать несколько значений служб и драйверов. Некоторые я понял:
[R | S] - [2 | 3 | 4] - Где [R | S] - состояние службы, а [2 | 3 | 4] - тип запуска. Это мне понятно:
R2 - состояние - запущена - тип запуска - Авто
R3 - состояние - запущена - тип запуска - Вручную
S4 - состояние - остановлена - тип запуска - Отключена
Непонятные для меня моменты в значениях 0=Boot, 1=System - R0, R1.
R0 - состояние - запущена - тип запуска - ????
R1 - состояние - запущена - тип запуска - ????Что означает Boot и System. Если можно попроще объяснить, чтобы было понятно. Со значением R1 думаю, что такие драйвера запускаются тогда, когда в этом возникает необходимость, их запуск контролируется системой. Это только предположение. Так как под этим значением есть виртуальный привод UltraISO и VirtualBox.
В общем, прошу помощи в пояснении этих моментов.