пишет вам опять закROOTченный буратино... ребята помогите , я вам уже четвёртый раз пишу , а вы мне чисто , чисто.... утилита авз не помогает , ничё не видит . зато SysInspector видит много всякой грязи , но это не главное , в тот раз человек посоветовал мне воспользоваться gmer'ом , сначала я просто сделал скан и помониторил , прислал логи , вы мне сказали что всё вроде чисто . потом решил пофиксить гмером - в итоге упал винт , так я и потерял всё , чего терять не хотел , щас отформатил по новой , поставил ХР СП 3 , сволочь ОПЯТЬ ОТКУДА ТО ТЯНЕТСЯ .
заметил ещё некоторые странные вещи :Virtual decoder7 , virtual decoder8 savedump, loaddump, SubVirt в истории только что установленной системы , в назначенных заданиях планировщика, заметил что остался всё тот же файл pagefile.sys весом в 2 гб , администратор какой то Builtin , ещё до форматирования , при отрытии упавшего винта , программой восстановаления обнаружил на винте множество толи файлов толи папок типа $MFT $BadClus $TfX $ и так далее ... помогите кто чем может .... видоекарта у меня PCI-E , а система работает в VGA, какой firmware концентратор - что это?
вот прикрепляю только что сделанный лог гмер"ом и скриншот реестра , опять же из гмера
P.s хотелось бы чтобы вы обратили внимание вот а эти статьи взятые с сайта itc.ua (я ни в коем случае не собираюсь никого учить , просто в них я заметил 100%-ую схожесть с моим случаем
----
BIOS-rootkit: не угроза, но предупреждение
О возможности появления и распространения нового вида rootkit-программ в середине января заявил главный консультант по безопасности британской компании Next-Generation Security Software Джон Хисман (John Heasman). Произошло это на вашингтонской конференции Black Hat Federal. Хисман утверждает, что реализация rootkit, размещенного (и, как результат, спрятанного) во флэш-памяти базовой системы ввода/вывода (BIOS) вполне осуществима. Для этого необходимо освоить высокоуровневый язык программирования ASL (ACPI Source Language), затем написать на нем rootkit-программу, скомпилировать ее в AML (ACPI Machine Language) и записать во флэш-память BIOS. «Благо», инструментальные средства разработки на языке ASL широко доступны. Исследователь сообщил о тестировании им базовых функций, таких, как получение прав доступа и чтение содержимого физической памяти.
Лишь несколько потайных ключей реестра – еще не повод для беспокойства
Такого рода rootkit не страшны ни форматирование жесткого диска, ни переустановка ОС – их предельно трудно выявить, а ликвидировать можно только путем перезаписи флэш-памяти корректным кодом. Утешает лишь то, что для создания и распространения BIOS-rootkit существует немало преград. Так, достаточно запретить перепрошивку BIOS с помощь соответствующих настроек или перемычки на материнской плате (не исключено, что в будущем BIOS сама будет проверять свою контрольную сумму и т. д.). Очевидно также, что во флэш-памяти BIOS проблематично скрыто разместить полновесную rootkit-программу, там, по всей видимости, могут поместиться лишь какие-то специфические функции.
----
PCI-rootkit: еще одна проблема
Созданный российской командой программистов Rootkit Unhooker реализует востребованную в недалеком будущем функцию обнаружения VMBR-инструментов
Джон Хисман, который ранее заявил о принципиальной возможности создания rootkit, размещенного в постоянной памяти BIOS, в середине ноября 2006 г. опубликовал документ, где привел информацию о реализации и обнаружении программ, «обитающих» в памяти PCI-карт (в данном случае под собирательным термином PCI подразумеваются собственно PCI, AGP и PCI-E). Обычно в ППЗУ хранятся дополнительный код, используемый при инициализации карт, команды самопроверки и перехвата прерываний. Для него сейчас преимущественно применяются микросхемы типа EEPROM – их особенностью является перепрограммирование прямо из ОС, не извлекая чипа из карты. Поэтому для внедрения вредоносного ПО кибер-злоумышленнику достаточно получить права администратора и воспользоваться каким-либо инструментом, подходящим для перезаписи данного устройства. После включения компьютера программа будeт запущена, и для выполнения различных действий (к примеру – кражи конфиденциальной информации) ей необходимо лишь дождаться загрузки ОС. Дальше, как говорится, дело техники...
Но как бороться с этой угрозой? Во-первых, поскольку злонамеренный код после загрузки операционной системы подвергает изменениям ядро, следует выяснить, какие действия он совершил (где находятся перехватчики вызовов и какие структуры были модифицированы). А эти операции можно проводить различными доступными анти-rootkit-инструментами. Во-вторых, запуск PCI-rootkit можно предотвратить с помощью микроконтроллера Trusted Platform Module (TPM). Одной из функций TPM является организация защиты процедуры начальной загрузки компьютера – он осуществляет проверку целостности BIOS, а содержимое памяти присутствующих в системе устройств сопоставляется с заведомо корректными данными. Следовательно, TPM попросту не допустит исполнения PCI-rootkit. Не может не радовать то обстоятельство, что этот модуль сейчас находит широкое применение. Так, к примеру, в вычислительных средствах сухопутных войск США (U.S. Army) TPM – обязательный компонент. Кроме того, данный модуль применяется в компьютерах Apple, в частности, для проверки, запускается ли интерпретатор PowerPC-Intel на аутентичном оборудовании компании.
----
очень похоже на мой случай. больше склоняюсь к первому варианту , но у меня такое ощущение , что у меня смесь первого и второго в одном флаконе, если такое бывает........
Последний раз редактировалось Hazard163; 31.12.2008 в 20:16.
Причина: .
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Сообщение от Hazard163
