Перейти к содержанию
Nice Puppy

Заражение буткитом

Recommended Posts

Nice Puppy

Уважаемые специалисты, просьба помочь.

Имеются подозрения на заражение системы Windows Vista x32. Собираюсь переставлять ОС (Win 7 x64). Пользуюсь антивирусной системой Agnitum Outpost Security Suite. С его стороны никаких подозрений. Просканировал компьютер с помощью VBA32 AntiRootkit. Он нашел множество аномалий и изменения в VBR. GMER нашел скрытые процессы (но скорее всего они принадлежат Outpost). Все бы было ничего и можно было бы снести все с HDD с LiveCD какого-нибудь, если бы этот HDD был у меня один. А т.к. часть инфы я забекапить не смогу, то вопрос такой, могут ли VBR на других дисках после переустановки Win заразить загрузочный диск повторно? На всякий случай прикреплю дампы всех VBR и MBR.

И если быть до конца параноиком, то наверное стоит перепрошить BIOS. Как считаете?

P.S. И еще такой вопрос касательно возможности отслеживать состояние системы после переустановки начистую. Если после установки ОС и переразметки разделов на всех HDD в системе сделать дампы всех MBR и VBR и подсчитать их контрольные суммы, можно ли в дальнейшем надеяться, что любые изменения в этих областях диска укажут на заражение? Мне не совсем понятно как устроен VBR. Скажем, если я сменю метку тома, то куда эта информация пропишется? В MFT-таблицы или в VBR? Т.е. VBR меняется от несерьезных действий пользователя без переразбивки томов и переопределения их размеров?

VBA32_LOGS.zip

VBA32_LOGS.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandra

Полный лог антируткита приложите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandra

Нет у Вас никаких буткитов и аномалий в системе.

И если быть до конца параноиком, то наверное стоит перепрошить BIOS. Как считаете?

Ну если быть параноиком то да, а так ничего трогать не нужно. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Если хотите быть параноиком - грамотно настройте Аутпост и никакая дрянь хоть трижды 0-day не пролезет. хотя, как видите, она итак не пролезла, если прочитать что выше Aleksandra написала.

И если быть до конца параноиком, то наверное стоит перепрошить BIOS

Обязательно! при любом заражении или подозрении на него начинать нужно именно с этого :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zzkk
Все бы было ничего и можно было бы снести все с HDD с LiveCD какого-нибудь

Просто просканируйте машину LiveCD или LiveUSB от Касперского или ДоктораВеба.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Nice Puppy
Просто просканируйте машину LiveCD или LiveUSB от Касперского или ДоктораВеба.

Да, сканил двумя LiveCD от обоих вендоров. Ничего не нашли оба.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Nice Puppy
Если хотите быть параноиком - грамотно настройте Аутпост и никакая дрянь хоть трижды 0-day не пролезет. хотя, как видите, она итак не пролезла, если прочитать что выше Aleksandra написала.

Так ведь уже ж. Но это не панацея. Сам лично видел как он пропустил трояна-вымогателя через браузер (не у меня). Правда, он не смог залезть в автозагрузку. :facepalm: Таки Outpost не дал, но осадочек остался.

А насчет возможности повторного заражения с VBR на незагрузочных дисках мне так и не ответили. Возможно ли такое?

И как насчет моего вопроса насчет подсчета контрольных сумм VBR и MBR в качестве меры контроля изменения этих критических областей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

подсчитывать хэш сектора не всегда поможет, активный руткит может перехватывать запрос и возвращить оригинальную запись...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Nice Puppy

Понятное дело, что из-под скомпрометированной системы такое может и не сработать. Для этого и существует переносная версия Linux. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest welcome my jia

Все бы было ничего и можно было бы снести все с HDD с LiveCD какого-нибудь, наполнитель для кошачьих туалетов если бы этот HDD был у меня один. А т.к. часть инфы я забекапить не смогу, то вопрос такой,http://ru.silicon-gel-china.com

грамотно настройте Аутпост и никакая дрянь хоть трижды 0-day не пролезет. хотя, Двуокись титана TiO2 http://ru.titanium-dioxide.netкак видите, она итак не пролезла

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RODISLAV

Плюньте на все советы. Они бесполезны. Замените микруху биоса и все HDD системы на новые. Все антируткитовые средства отстой. Есть другие неизвестные средства. Никто здесь не поможет ибо не ведают..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dreindeimos

Перепрошивка биоса не нужна

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
trotem

В левых программ столько ша вирусов, остерегайтесь!

61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j

Отредактировал trotem

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Лукин Вадим
      Попробуйте бесплатную версию антивируса Avast https://biblsoft.ru/windows/security/antivirus/144-avast-free-antivirus . Отлично защищает от вирусов, блокирует рекламу и другие угрозы, которые могут нанести вред вашему ПК. Одна программа вмещает в себе много защитных средств, как по мне, достаточно удобно.
    • SQx
      Приветствую,

      По каким-то причинам uVS не видет(пропускает) WMI записи следующего вида: WMI:subscription\__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION возможно ли добавить в новых версиях?

      Предположительно эти записи находятся в следующем файле: C:\Windows\system32\wbem\repository\INDEX.BTR P.S. C этим встретился в одной из тем по лечению.
       
    • Зотов Тимур
      стандартный виндовс защитник не подходит? 
    • ГришаСмернов
      Для начало Вам стоит определиться каким бюджетом вы располагаете. Если Вы думаете, что купите стиральную машинку за 10 тыс., то Вы глубоко заблуждаетесь. Покупка эта не из дешевых. Да и жалеть денег на машинку не стоит, если хотите, чтобы она прослужила Вам долго. Перед тем как идти в магазин, почитайте эту статью https://tehno-rating.ru/591-kak-vybrat-stiralnuyu-mashinu-avtomat.html . Мне она замечательно помогла, когда я мучился со своей покупкой. В итоге руководствуясь дельными советами из этой статьи, купил себе хорошую машинку и даже куда дешевле, чем думал.
    • Лукин Вадим
      Возьмите саму новую модель. И смотрите, что бы объем был больше 
×