Перейти к содержанию
Nice Puppy

Заражение буткитом

Recommended Posts

Nice Puppy

Уважаемые специалисты, просьба помочь.

Имеются подозрения на заражение системы Windows Vista x32. Собираюсь переставлять ОС (Win 7 x64). Пользуюсь антивирусной системой Agnitum Outpost Security Suite. С его стороны никаких подозрений. Просканировал компьютер с помощью VBA32 AntiRootkit. Он нашел множество аномалий и изменения в VBR. GMER нашел скрытые процессы (но скорее всего они принадлежат Outpost). Все бы было ничего и можно было бы снести все с HDD с LiveCD какого-нибудь, если бы этот HDD был у меня один. А т.к. часть инфы я забекапить не смогу, то вопрос такой, могут ли VBR на других дисках после переустановки Win заразить загрузочный диск повторно? На всякий случай прикреплю дампы всех VBR и MBR.

И если быть до конца параноиком, то наверное стоит перепрошить BIOS. Как считаете?

P.S. И еще такой вопрос касательно возможности отслеживать состояние системы после переустановки начистую. Если после установки ОС и переразметки разделов на всех HDD в системе сделать дампы всех MBR и VBR и подсчитать их контрольные суммы, можно ли в дальнейшем надеяться, что любые изменения в этих областях диска укажут на заражение? Мне не совсем понятно как устроен VBR. Скажем, если я сменю метку тома, то куда эта информация пропишется? В MFT-таблицы или в VBR? Т.е. VBR меняется от несерьезных действий пользователя без переразбивки томов и переопределения их размеров?

VBA32_LOGS.zip

VBA32_LOGS.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandra

Полный лог антируткита приложите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandra

Нет у Вас никаких буткитов и аномалий в системе.

И если быть до конца параноиком, то наверное стоит перепрошить BIOS. Как считаете?

Ну если быть параноиком то да, а так ничего трогать не нужно. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Если хотите быть параноиком - грамотно настройте Аутпост и никакая дрянь хоть трижды 0-day не пролезет. хотя, как видите, она итак не пролезла, если прочитать что выше Aleksandra написала.

И если быть до конца параноиком, то наверное стоит перепрошить BIOS

Обязательно! при любом заражении или подозрении на него начинать нужно именно с этого :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zzkk
Все бы было ничего и можно было бы снести все с HDD с LiveCD какого-нибудь

Просто просканируйте машину LiveCD или LiveUSB от Касперского или ДоктораВеба.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Nice Puppy
Просто просканируйте машину LiveCD или LiveUSB от Касперского или ДоктораВеба.

Да, сканил двумя LiveCD от обоих вендоров. Ничего не нашли оба.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Nice Puppy
Если хотите быть параноиком - грамотно настройте Аутпост и никакая дрянь хоть трижды 0-day не пролезет. хотя, как видите, она итак не пролезла, если прочитать что выше Aleksandra написала.

Так ведь уже ж. Но это не панацея. Сам лично видел как он пропустил трояна-вымогателя через браузер (не у меня). Правда, он не смог залезть в автозагрузку. :facepalm: Таки Outpost не дал, но осадочек остался.

А насчет возможности повторного заражения с VBR на незагрузочных дисках мне так и не ответили. Возможно ли такое?

И как насчет моего вопроса насчет подсчета контрольных сумм VBR и MBR в качестве меры контроля изменения этих критических областей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

подсчитывать хэш сектора не всегда поможет, активный руткит может перехватывать запрос и возвращить оригинальную запись...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Nice Puppy

Понятное дело, что из-под скомпрометированной системы такое может и не сработать. Для этого и существует переносная версия Linux. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest welcome my jia

Все бы было ничего и можно было бы снести все с HDD с LiveCD какого-нибудь, наполнитель для кошачьих туалетов если бы этот HDD был у меня один. А т.к. часть инфы я забекапить не смогу, то вопрос такой,http://ru.silicon-gel-china.com

грамотно настройте Аутпост и никакая дрянь хоть трижды 0-day не пролезет. хотя, Двуокись титана TiO2 http://ru.titanium-dioxide.netкак видите, она итак не пролезла

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RODISLAV

Плюньте на все советы. Они бесполезны. Замените микруху биоса и все HDD системы на новые. Все антируткитовые средства отстой. Есть другие неизвестные средства. Никто здесь не поможет ибо не ведают..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dreindeimos

Перепрошивка биоса не нужна

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
trotem

В левых программ столько ша вирусов, остерегайтесь!

61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j

Отредактировал trotem

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • CoreyBar
      Привет всем участникам форума! Класный у вас сайт!
      Что скажете по поводу этих новостей?: Ростислав Ищенко. Модель Коломойского в масштабах государства не работает | Раскол в партии "Слуга народа" | Ответы на вопросы http://energysmi.ru/news/42412-rostislav-ischenko-model-kolomoyskogo-v-masshtabah-gosudarstva-ne-rabotaet-raskol-v-partii-sluga-naroda-otvety-na-voprosy.html
      Саудовская Аравия раздувает пожар религиозной войны Саудовская Аравия раздувает пожар религиозной войны
      Ещё много всего по теме нашел тут: боевики днр и лнр донбасс метро
    • PR55.RP55
      cinquefoil2014 На anti-malware.ru нет раздела по лечению. Обратиться за помощью можно на любой из этих форумов: https://virusinfo.info/forumdisplay.php?f=46 https://forum.kasperskyclub.ru/index.php?showforum=26 http://www.cyberforum.ru/viruses/ https://safezone.cc/forums/viruses/
    • cinquefoil2014
      Подскажите а в каком разделе можно задать вопрос по поводу лечения вируса на сайте?
    • PR55.RP55
      1) По поводу команды: Сбросить атрибуты для все файлов/каталогов в... Это не работает, если не заданы: Группы или пользователи. т.е. нужно проверить не пуст ли список... Если пуст:  прописать пользователя. И только после этого можно сбросить атрибуты... 2) При проверке ЭЦП по F6 ... Если неполадки с сетевым оборудованием, или службами отвечающими за доступ к сети... uvS видит: Сеть есть... и начинает проверять файлы. А по сути сети нет. т.е. здесь нужен таймер.: Если в течении определённого времени нет результата - то проверять ЭЦП локально ( с соответствующей записью в Лог )   Не ждать, как сейчас 100 500 часов. 3)  Проверка занимает излишне много времени в ситуации: Ошибка  [Не удается построить цепочку сертификатов для доверенного корневого центра. ]
      Ошибка  [Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. ] uVS натыкается на такой файл и думает... думает...
    • PR55.RP55
      1) Если оператор применил фильтр  [V]  Известные. То при применении команды: F6   проверять только оставшиеся в списке файлы. Это на порядок ускорит проверку.  Нужно проверить всё ? Сними чек-бокс.  
×