Шось)))

Printable View

28.05.2008, 18:23
siniz

Шось)))

[SIZE=2]1.Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082B80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Функция NtEnumerateKey (47) - модификация машинного кода. Метод JmpTo. jmp[/SIZE][SIZE=2][COLOR=#ff0000] FC5E4439Jcf30.sys
Функция NtOpenKey (77) - модификация машинного кода. Метод JmpTo. jmp FC5E41A5Jcf30.sys

При попытке проверить систему в режиме блокировки работы кернел-мода сразу после появления результатов проверки этой подгруппы и надписи что стуевина исправлена происходит на автомате перегрузка системы.
[/COLOR][/SIZE]
28.05.2008, 18:25
Rene-gad

[url]http://virusinfo.info/showthread.php?t=1235[/url] :rtfm:
28.05.2008, 19:16
siniz

Вложений: 1

и снова теже на манеже))

настоящим сообщаю что при попытке выполнить первый пункт требований и правил т.е. скрипты система ласково перезагрузилась предварительно показав синенький екранчик как и при попытке сканирования в кернел-моде, тоже приосходит при попытке сканения вебской утилитой сюреит.
28.05.2008, 19:23
Rene-gad

Отключите автоматическую перезагрузку (см. ссылку BSOD в моей подписи), запишите и запостите информацию с синего экрана.
28.05.2008, 20:33
siniz

В целом скана не вышло, присутствовали надписи о безопасном режиме , о дампе памяти и техническая инфа в виде трохи буквоциферок както STOP:0x0000007E(0x0000005,0x8056F775,0xFCC5ECEC,0xFCC5E9E8) Раз больше ничего не нашел видать криворукий типок я оказался))
28.05.2008, 20:40
V_Bond

из папки С:\WINDOWS\Minidump последний по времени создания файл запакуйте и приложите ...
28.05.2008, 20:49
siniz

Вложений: 1

ок
28.05.2008, 20:53
Rene-gad

тут написано про цю помилку. Але ж росiйською мовою ;).
[url]http://support.microsoft.com/?scid=kb%3Bru%3B330182&x=15&y=9[/url]
28.05.2008, 20:59
siniz

Мы не гордые)) русскоукраинское наречие в просторечии суржик позволяет читать на любом языке)) правда из этих двух и понятно то не все)) зато есть шанс к развитию))

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

В общем пациент скорее жив чем мертв))) дышит и пускает газы-существование налицо))
28.05.2008, 21:41
V_Bond

[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачайте [/URL] C:\WINDOWS\System32\Drivers\Jcf30.sys - force delete
потом сделайте логи по правилам ...