Заражение буткитом - Помощь - Форумы Anti-Malware.ru Перейти к содержанию
Nice Puppy

Заражение буткитом

Автор Nice Puppy, в Помощь

Recommended Posts

Nice Puppy    0

Nice Puppy
Опубликовано

Уважаемые специалисты, просьба помочь.

Имеются подозрения на заражение системы Windows Vista x32. Собираюсь переставлять ОС (Win 7 x64). Пользуюсь антивирусной системой Agnitum Outpost Security Suite. С его стороны никаких подозрений. Просканировал компьютер с помощью VBA32 AntiRootkit. Он нашел множество аномалий и изменения в VBR. GMER нашел скрытые процессы (но скорее всего они принадлежат Outpost). Все бы было ничего и можно было бы снести все с HDD с LiveCD какого-нибудь, если бы этот HDD был у меня один. А т.к. часть инфы я забекапить не смогу, то вопрос такой, могут ли VBR на других дисках после переустановки Win заразить загрузочный диск повторно? На всякий случай прикреплю дампы всех VBR и MBR.

И если быть до конца параноиком, то наверное стоит перепрошить BIOS. Как считаете?

P.S. И еще такой вопрос касательно возможности отслеживать состояние системы после переустановки начистую. Если после установки ОС и переразметки разделов на всех HDD в системе сделать дампы всех MBR и VBR и подсчитать их контрольные суммы, можно ли в дальнейшем надеяться, что любые изменения в этих областях диска укажут на заражение? Мне не совсем понятно как устроен VBR. Скажем, если я сменю метку тома, то куда эта информация пропишется? В MFT-таблицы или в VBR? Т.е. VBR меняется от несерьезных действий пользователя без переразбивки томов и переопределения их размеров?

VBA32_LOGS.zip

VBA32_LOGS.zip

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Aleksandra    10

Aleksandra
Опубликовано

Полный лог антируткита приложите.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Aleksandra    10

Aleksandra
Опубликовано

Нет у Вас никаких буткитов и аномалий в системе.

И если быть до конца параноиком, то наверное стоит перепрошить BIOS. Как считаете?

Ну если быть параноиком то да, а так ничего трогать не нужно. :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

Если хотите быть параноиком - грамотно настройте Аутпост и никакая дрянь хоть трижды 0-day не пролезет. хотя, как видите, она итак не пролезла, если прочитать что выше Aleksandra написала.

И если быть до конца параноиком, то наверное стоит перепрошить BIOS

Обязательно! при любом заражении или подозрении на него начинать нужно именно с этого :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

zzkk    130

zzkk
Опубликовано
Все бы было ничего и можно было бы снести все с HDD с LiveCD какого-нибудь

Просто просканируйте машину LiveCD или LiveUSB от Касперского или ДоктораВеба.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Nice Puppy    0

Nice Puppy
Опубликовано
Просто просканируйте машину LiveCD или LiveUSB от Касперского или ДоктораВеба.

Да, сканил двумя LiveCD от обоих вендоров. Ничего не нашли оба.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Nice Puppy    0

Nice Puppy
Опубликовано
Если хотите быть параноиком - грамотно настройте Аутпост и никакая дрянь хоть трижды 0-day не пролезет. хотя, как видите, она итак не пролезла, если прочитать что выше Aleksandra написала.

Так ведь уже ж. Но это не панацея. Сам лично видел как он пропустил трояна-вымогателя через браузер (не у меня). Правда, он не смог залезть в автозагрузку. :facepalm: Таки Outpost не дал, но осадочек остался.

А насчет возможности повторного заражения с VBR на незагрузочных дисках мне так и не ответили. Возможно ли такое?

И как насчет моего вопроса насчет подсчета контрольных сумм VBR и MBR в качестве меры контроля изменения этих критических областей?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

подсчитывать хэш сектора не всегда поможет, активный руткит может перехватывать запрос и возвращить оригинальную запись...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Nice Puppy    0

Nice Puppy
Опубликовано

Понятное дело, что из-под скомпрометированной системы такое может и не сработать. Для этого и существует переносная версия Linux. ;)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Guest welcome my jia   

Guest welcome my jia
Опубликовано

Все бы было ничего и можно было бы снести все с HDD с LiveCD какого-нибудь, наполнитель для кошачьих туалетов если бы этот HDD был у меня один. А т.к. часть инфы я забекапить не смогу, то вопрос такой,http://ru.silicon-gel-china.com

грамотно настройте Аутпост и никакая дрянь хоть трижды 0-day не пролезет. хотя, Двуокись титана TiO2 http://ru.titanium-dioxide.netкак видите, она итак не пролезла

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

RODISLAV    0

RODISLAV
Опубликовано

Плюньте на все советы. Они бесполезны. Замените микруху биоса и все HDD системы на новые. Все антируткитовые средства отстой. Есть другие неизвестные средства. Никто здесь не поможет ибо не ведают..

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

dreindeimos    1

dreindeimos
Опубликовано

Перепрошивка биоса не нужна

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

trotem    0

trotem
Опубликовано (изменено)

В левых программ столько ша вирусов, остерегайтесь!

61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j61j

Отредактировал trotem

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Помощь

  • Сообщения

    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Изменения для драйверов Windows 11: новые сертификаты и отказ от метаданных https://www.comss.ru/page.php?id=16408
    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      Если нет пользовательского реестра для пользователя то будет сообщение в логе, остальное не надо видеть и тем более удалять - это дело пользователя.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Увидит ли такое uVS И должно быть удаление ? O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\TEMP
      O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\Михаил Акаминов
      O27 - Account: (Hidden) User 'John' is invisible on logon screen
      O27 - Account: (Missing) HKLM\..\ProfileList\S-1-5-21-1832937462-987109255-1306349959-1002.bak [ProfileImagePath] = C:\Users\Михаил (folder missing)
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Не увидел твое сообщение во время, а исправление до *.14 как раз было бы во время для решения проблемы с  dialersvc.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Небольшое исправление, следующее обновление будет чисто интерфейсным и можно будет выпускать v5.0 ---------------------------------------------------------
       4.99.14
      ---------------------------------------------------------
       o Исправлена ошибка при подключении к удаленному компьютеру с Win11:
         в удаленную систему не передавалась база известных файлов.

       o Функция защиты от внедрения потоков работала неправильно если параметр bFixedName не был указан
         в settings.ini или он был равен 0.
       
×