eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: LoxmatbIj (+6 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Крэки, обсуждения —› непонятный руткит
Посл.ответ Сообщение


Ранг: 156.2 (ветеран)
Статус: Участник

Создано: 10 марта 2009 12:29 · Поправил: Mavlyudov New!
Цитата · Личное сообщение · #1

У меня стал перезагружаться комп примерно через 10 мин после его включения.
И вылетает на синий экран с ошибкой
"A problem has been detected and Windows has been shut down to prevent damage to your computer.

A device driver attempting to corrupt the system has been caught.
The faulty driver currently on the kernel stack must be replaced
with a working version.

Technical Information:

*** STOP: 0x000000C4"

При этом RKU показывает странный "девайс" HardLock.
Не подскажете, что это может быть?



================================
Даже после удаления из процессов этого руткита, комп перезагружается.


Ранг: 650.8 (! !)
Статус: Участник
CyberMonk

Создано: 10 марта 2009 13:41 New!
Цитата · Личное сообщение · #2

может загрузитеся с лайв диска и найти файлы hardlock.sys и hardlock.exe ? Они вроде в автостарте прописываются. Или лучше залей файлы эти сюда , а еще лучше в тему про трои , тут на форуме. Прислали трояна ...успешно.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 10 марта 2009 13:43 New!
Цитата · Личное сообщение · #3

вроде как это даже не руткит

yandex.ru/yandsearch?clid=14585&text=hardlock.sys

Ранг: 271.5 (наставник)
Статус: Участник
Packer Reseacher

Создано: 10 марта 2009 14:34 New!
Цитата · Личное сообщение · #4

Mavlyudov
Выбирай сорт кофе, а то гуща должна быть качественной для гадания

Ранг: 12.0 (новичок)
Статус: Участник

Создано: 10 марта 2009 14:48 New!
Цитата · Личное сообщение · #5

Скорее всего у вас стоит Daemon или какая-то другая виртуалка. Как правило они дают BSOD с такими ошибками.

Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 10 марта 2009 14:58 New!
Цитата · Личное сообщение · #6

Mavlyudov
Ошибочку с синим экраном можно разглядеть с помощью минидампа:
forum.ru-board.com/topic.cgi?forum=27&topic=3753&start=340#3


Ранг: 156.2 (ветеран)
Статус: Участник

Создано: 10 марта 2009 22:59 New!
Цитата · Личное сообщение · #7

Удалил я hardlock.sys прямо из винды, не снимая даже из RKU. Но все равно комп перезагружается.
Можно ли отловить от какого устройства/драйвера через файл MEMORY.DMP? или бесполезно в нем рыться?


Ранг: 650.8 (! !)
Статус: Участник
CyberMonk

Создано: 10 марта 2009 23:20 New!
Цитата · Личное сообщение · #8

=) а ехе хардлок ? ...если там вшито , то он востановится. Загрузись в безопасном режиме и там посмотри , перезагрузит или нет.


Ранг: 467.7 (мудрец)
Статус: Участник
Иной :)

Создано: 10 марта 2009 23:29 New!
Цитата · Личное сообщение · #9

Mavlyudov
Я чето не пойму чего гадаете? nice же написал: минидамп делай и пихай в Debugging Tools for Windows (WinDbg).

Всё и встанен на свои места (узнаешь кто валит систему).

P.S. Лучше конечно выставить полный дамп памяти, что большую вероятность дает вычисления косяка при анализе краш-дампа.


Ранг: 355.4 (мудрец)
Статус: Uploader
5KRT

Создано: 10 марта 2009 23:59 New!
Цитата · Личное сообщение · #10

Мой компьютер -> Свойства -> Запись отладочной информации - Дамп памяти ядра


Ранг: 156.2 (ветеран)
Статус: Участник

Создано: 11 марта 2009 00:13 · Поправил: Mavlyudov New!
Цитата · Личное сообщение · #11

Выяснил, что кто-то до меня мутил с утилитой verifier. Я сейчас удалил параметры так:
Пуск-Выполнить-verifier -"Удалить существующие параметры"
Теперь сведения о текущих параметрах выглядят так.


А как должно быть??

nice
что-то windbg ругается на символы. Как и куда их правильно проинсталлировать?

Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 11 марта 2009 09:38 New!
Цитата · Личное сообщение · #12

Mavlyudov
forum.oszone.net/thread-93436.html
www.insidepro.com/kk/222/222r.shtml
 eXeL@B —› Крэки, обсуждения —› непонятный руткит

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS