1.Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082B80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Функция NtEnumerateKey (47) - модификация машинного кода. Метод JmpTo. jmp FC5E4439Jcf30.sys
Функция NtOpenKey (77) - модификация машинного кода. Метод JmpTo. jmp FC5E41A5Jcf30.sys
При попытке проверить систему в режиме блокировки работы кернел-мода сразу после появления результатов проверки этой подгруппы и надписи что стуевина исправлена происходит на автомате перегрузка системы.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
настоящим сообщаю что при попытке выполнить первый пункт требований и правил т.е. скрипты система ласково перезагрузилась предварительно показав синенький екранчик как и при попытке сканирования в кернел-моде, тоже приосходит при попытке сканения вебской утилитой сюреит.
В целом скана не вышло, присутствовали надписи о безопасном режиме , о дампе памяти и техническая инфа в виде трохи буквоциферок както STOP:0x0000007E(0x0000005,0x8056F775,0xFCC5ECEC,0x FCC5E9E Раз больше ничего не нашел видать криворукий типок я оказался))
Мы не гордые)) русскоукраинское наречие в просторечии суржик позволяет читать на любом языке)) правда из этих двух и понятно то не все)) зато есть шанс к развитию))
Добавлено через 1 минуту
В общем пациент скорее жив чем мертв))) дышит и пускает газы-существование налицо))
Последний раз редактировалось siniz; 28.05.2008 в 20:59.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: