chemtech
30-10-2010, 13:49
Обнаружил руткит на новой чистой только что установленной системе:
Установил windows xp pro sp3 vl rus в VirtualBox 3.2.10
В установленной чистой винде скачал gmer, запустил. Вот отчет:
"
GMER 1.0.15.15477 - http://www.gmer.net
Rootkit quick scan 2010-10-30 16:33:01
Windows 5.1.2600 Service Pack 3
Running: biznzsv1.exe; Driver: C:\DOCUME~1\9335~1\LOCALS~1\Temp\kfxyafoc.sys
---- System - GMER 1.0.15 ----
Code F0C0F5E3 Kei386EoiHelper
---- EOF - GMER 1.0.15 ----
"
Запускаю AVZ. Вот что говорит:
Функция ExAcquireSharedStarveExclusive (804F0279) - модификация машинного кода. Метод Int03h., внедрение с байта 15
Функция ExConvertExclusiveToSharedLite (804FB5E3) - модификация машинного кода. Метод JmpTo. jmp F783ABC0 , внедрение с байта 5
Функция ExDisableResourceBoostLite (804EFE53) - модификация машинного кода. Метод JmpTo. jmp F7831F78 , внедрение с байта 5
Функция ExIsResourceAcquiredExclusiveLite (804E8905) - модификация машинного кода. Метод JmpTo. jmp F7832790 , внедрение с байта 11
Функция ExIsResourceAcquiredSharedLite (804EE3B6) - модификация машинного кода. Метод JmpTo. jmp F7832538 , внедрение с байта 12
Функция ExReleaseResourceForThreadLite (804EFAD6) - модификация машинного кода. Метод JmpTo. jmp F784A998 , внедрение с байта 8
Функция ExSetResourceOwnerPointer (804F042D) - модификация машинного кода. Метод JmpTo. jmp F7843DA0 , внедрение с байта 12
Функция IoStopTimer (8052DD7B) - модификация машинного кода. Метод JmpTo. jmp F784FE10 , внедрение с байта 11
Функция KeRemoveQueueDpc (805038A9) - модификация машинного кода. Метод JmpTo. jmp F7851E30 , внедрение с байта 6
Откуда на чистой винде?
Проверял, переустанавливал несколько раз.
Установил windows xp pro sp3 vl rus в VirtualBox 3.2.10
В установленной чистой винде скачал gmer, запустил. Вот отчет:
"
GMER 1.0.15.15477 - http://www.gmer.net
Rootkit quick scan 2010-10-30 16:33:01
Windows 5.1.2600 Service Pack 3
Running: biznzsv1.exe; Driver: C:\DOCUME~1\9335~1\LOCALS~1\Temp\kfxyafoc.sys
---- System - GMER 1.0.15 ----
Code F0C0F5E3 Kei386EoiHelper
---- EOF - GMER 1.0.15 ----
"
Запускаю AVZ. Вот что говорит:
Функция ExAcquireSharedStarveExclusive (804F0279) - модификация машинного кода. Метод Int03h., внедрение с байта 15
Функция ExConvertExclusiveToSharedLite (804FB5E3) - модификация машинного кода. Метод JmpTo. jmp F783ABC0 , внедрение с байта 5
Функция ExDisableResourceBoostLite (804EFE53) - модификация машинного кода. Метод JmpTo. jmp F7831F78 , внедрение с байта 5
Функция ExIsResourceAcquiredExclusiveLite (804E8905) - модификация машинного кода. Метод JmpTo. jmp F7832790 , внедрение с байта 11
Функция ExIsResourceAcquiredSharedLite (804EE3B6) - модификация машинного кода. Метод JmpTo. jmp F7832538 , внедрение с байта 12
Функция ExReleaseResourceForThreadLite (804EFAD6) - модификация машинного кода. Метод JmpTo. jmp F784A998 , внедрение с байта 8
Функция ExSetResourceOwnerPointer (804F042D) - модификация машинного кода. Метод JmpTo. jmp F7843DA0 , внедрение с байта 12
Функция IoStopTimer (8052DD7B) - модификация машинного кода. Метод JmpTo. jmp F784FE10 , внедрение с байта 11
Функция KeRemoveQueueDpc (805038A9) - модификация машинного кода. Метод JmpTo. jmp F7851E30 , внедрение с байта 6
Откуда на чистой винде?
Проверял, переустанавливал несколько раз.