Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] rootkit на windows xp pro sp3 vl rus (http://forum.oszone.net/showthread.php?t=189808)

chemtech 30-10-2010 13:49 1530863
rootkit на windows xp pro sp3 vl rus
 
Обнаружил руткит на новой чистой только что установленной системе:

Установил windows xp pro sp3 vl rus в VirtualBox 3.2.10
В установленной чистой винде скачал gmer, запустил. Вот отчет:

"
GMER 1.0.15.15477 - http://www.gmer.net
Rootkit quick scan 2010-10-30 16:33:01
Windows 5.1.2600 Service Pack 3
Running: biznzsv1.exe; Driver: C:\DOCUME~1\9335~1\LOCALS~1\Temp\kfxyafoc.sys


---- System - GMER 1.0.15 ----

Code F0C0F5E3 Kei386EoiHelper

---- EOF - GMER 1.0.15 ----
"
Запускаю AVZ. Вот что говорит:
Функция ExAcquireSharedStarveExclusive (804F0279) - модификация машинного кода. Метод Int03h., внедрение с байта 15
Функция ExConvertExclusiveToSharedLite (804FB5E3) - модификация машинного кода. Метод JmpTo. jmp F783ABC0 , внедрение с байта 5
Функция ExDisableResourceBoostLite (804EFE53) - модификация машинного кода. Метод JmpTo. jmp F7831F78 , внедрение с байта 5
Функция ExIsResourceAcquiredExclusiveLite (804E8905) - модификация машинного кода. Метод JmpTo. jmp F7832790 , внедрение с байта 11
Функция ExIsResourceAcquiredSharedLite (804EE3B6) - модификация машинного кода. Метод JmpTo. jmp F7832538 , внедрение с байта 12
Функция ExReleaseResourceForThreadLite (804EFAD6) - модификация машинного кода. Метод JmpTo. jmp F784A998 , внедрение с байта 8
Функция ExSetResourceOwnerPointer (804F042D) - модификация машинного кода. Метод JmpTo. jmp F7843DA0 , внедрение с байта 12
Функция IoStopTimer (8052DD7B) - модификация машинного кода. Метод JmpTo. jmp F784FE10 , внедрение с байта 11
Функция KeRemoveQueueDpc (805038A9) - модификация машинного кода. Метод JmpTo. jmp F7851E30 , внедрение с байта 6

Откуда на чистой винде?
Проверял, переустанавливал несколько раз.

okshef 30-10-2010 14:10 1530884
Цитата:
Цитата chemtech
Откуда на чистой винде? »
Скачивали с Technet или MSDN?
Контрольная сумма совпадает: SHA1: B7E0DD8B8832E4966E61A9EC3CCD9E7EF3EAD1B3

chemtech 30-10-2010 15:18 1530954
Нет. Скачивал отсюда: http://thepiratebay.org/torrent/4151...8x86%29_vl._Ru
MD5 как и там 02B46B7F74308D7D31E608DB8DDDDFFD
а SHA-1 B7E0DD8B8832E4966E61A9EC3CCD9E7EF3EAD1B3

chemtech 31-10-2010 17:01 1531745
У кого-нибудь подтвердилось?

iskander-k 31-10-2010 17:39 1531766
В ПО скачанном с пиратских ресурсов - может быть всё, что угодно. ПО то ведь патчено. Там может быть любой вирус.

скачайте с официального источника и сравните.

Логов нет - Тема закрыта.

Не будет логов - тему снова закрою.

chemtech 06-11-2010 20:33 1536380
Сейчас снова несколько раз повторил - ничего не обнаружил.
С одной стороны хорошо, что ничего не нашел. С другой не знаю что и думать, что это было? откуда?
Спасибо всем кто откликнулся.

thyrex 06-11-2010 21:31 1536432
И где руткит? Я его в этих обрывках не усматриваю :)

chemtech 07-11-2010 08:02 1536661
Вот это меня забеспокоило. Может это и не руткит.

Цитата:
GMER 1.0.15.15477 - http://www.gmer.net
Rootkit quick scan 2010-10-30 16:33:01
Windows 5.1.2600 Service Pack 3
Running: biznzsv1.exe; Driver: C:\DOCUME~1\9335~1\LOCALS~1\Temp\kfxyafoc.sys

thyrex 07-11-2010 11:17 1536730
Это драйвер самого gmer :)
Там же ясно написано

chemtech 08-11-2010 16:43 1537752
Как будет еще подозрение, напишу.


Время: 10:47.

Время: 10:47.
© OSzone.net 2001-