Показано с 1 по 5 из 5.

и опять hazard163 (заявка № 36575)

  1. #1
    Junior Member Репутация
    Регистрация
    15.12.2008
    Сообщений
    15
    Вес репутации
    34

    и опять hazard163

    пишет вам опять закROOTченный буратино... ребята помогите , я вам уже четвёртый раз пишу , а вы мне чисто , чисто.... утилита авз не помогает , ничё не видит . зато SysInspector видит много всякой грязи , но это не главное , в тот раз человек посоветовал мне воспользоваться gmer'ом , сначала я просто сделал скан и помониторил , прислал логи , вы мне сказали что всё вроде чисто . потом решил пофиксить гмером - в итоге упал винт , так я и потерял всё , чего терять не хотел , щас отформатил по новой , поставил ХР СП 3 , сволочь ОПЯТЬ ОТКУДА ТО ТЯНЕТСЯ .

    заметил ещё некоторые странные вещи :Virtual decoder7 , virtual decoder8 savedump, loaddump, SubVirt в истории только что установленной системы , в назначенных заданиях планировщика, заметил что остался всё тот же файл pagefile.sys весом в 2 гб , администратор какой то Builtin , ещё до форматирования , при отрытии упавшего винта , программой восстановаления обнаружил на винте множество толи файлов толи папок типа $MFT $BadClus $TfX $ и так далее ... помогите кто чем может .... видоекарта у меня PCI-E , а система работает в VGA, какой firmware концентратор - что это?


    вот прикрепляю только что сделанный лог гмер"ом и скриншот реестра , опять же из гмера



    P.s хотелось бы чтобы вы обратили внимание вот а эти статьи взятые с сайта itc.ua (я ни в коем случае не собираюсь никого учить , просто в них я заметил 100%-ую схожесть с моим случаем

    ----
    BIOS-rootkit: не угроза, но предупреждение

    О возможности появления и распространения нового вида rootkit-программ в середине января заявил главный консультант по безопасности британской компании Next-Generation Security Software Джон Хисман (John Heasman). Произошло это на вашингтонской конференции Black Hat Federal. Хисман утверждает, что реализация rootkit, размещенного (и, как результат, спрятанного) во флэш-памяти базовой системы ввода/вывода (BIOS) вполне осуществима. Для этого необходимо освоить высокоуровневый язык программирования ASL (ACPI Source Language), затем написать на нем rootkit-программу, скомпилировать ее в AML (ACPI Machine Language) и записать во флэш-память BIOS. «Благо», инструментальные средства разработки на языке ASL широко доступны. Исследователь сообщил о тестировании им базовых функций, таких, как получение прав доступа и чтение содержимого физической памяти.
    Лишь несколько потайных ключей реестра – еще не повод для беспокойства


    Такого рода rootkit не страшны ни форматирование жесткого диска, ни переустановка ОС – их предельно трудно выявить, а ликвидировать можно только путем перезаписи флэш-памяти корректным кодом. Утешает лишь то, что для создания и распространения BIOS-rootkit существует немало преград. Так, достаточно запретить перепрошивку BIOS с помощь соответствующих настроек или перемычки на материнской плате (не исключено, что в будущем BIOS сама будет проверять свою контрольную сумму и т. д.). Очевидно также, что во флэш-памяти BIOS проблематично скрыто разместить полновесную rootkit-программу, там, по всей видимости, могут поместиться лишь какие-то специфические функции.
    ----
    PCI-rootkit: еще одна проблема
    Созданный российской командой программистов Rootkit Unhooker реализует востребованную в недалеком будущем функцию обнаружения VMBR-инструментов


    Джон Хисман, который ранее заявил о принципиальной возможности создания rootkit, размещенного в постоянной памяти BIOS, в середине ноября 2006 г. опубликовал документ, где привел информацию о реализации и обнаружении программ, «обитающих» в памяти PCI-карт (в данном случае под собирательным термином PCI подразумеваются собственно PCI, AGP и PCI-E). Обычно в ППЗУ хранятся дополнительный код, используемый при инициализации карт, команды самопроверки и перехвата прерываний. Для него сейчас преимущественно применяются микросхемы типа EEPROM – их особенностью является перепрограммирование прямо из ОС, не извлекая чипа из карты. Поэтому для внедрения вредоносного ПО кибер-злоумышленнику достаточно получить права администратора и воспользоваться каким-либо инструментом, подходящим для перезаписи данного устройства. После включения компьютера программа будeт запущена, и для выполнения различных действий (к примеру – кражи конфиденциальной информации) ей необходимо лишь дождаться загрузки ОС. Дальше, как говорится, дело техники...

    Но как бороться с этой угрозой? Во-первых, поскольку злонамеренный код после загрузки операционной системы подвергает изменениям ядро, следует выяснить, какие действия он совершил (где находятся перехватчики вызовов и какие структуры были модифицированы). А эти операции можно проводить различными доступными анти-rootkit-инструментами. Во-вторых, запуск PCI-rootkit можно предотвратить с помощью микроконтроллера Trusted Platform Module (TPM). Одной из функций TPM является организация защиты процедуры начальной загрузки компьютера – он осуществляет проверку целостности BIOS, а содержимое памяти присутствующих в системе устройств сопоставляется с заведомо корректными данными. Следовательно, TPM попросту не допустит исполнения PCI-rootkit. Не может не радовать то обстоятельство, что этот модуль сейчас находит широкое применение. Так, к примеру, в вычислительных средствах сухопутных войск США (U.S. Army) TPM – обязательный компонент. Кроме того, данный модуль применяется в компьютерах Apple, в частности, для проверки, запускается ли интерпретатор PowerPC-Intel на аутентичном оборудовании компании.
    ----

    очень похоже на мой случай. больше склоняюсь к первому варианту , но у меня такое ощущение , что у меня смесь первого и второго в одном флаконе, если такое бывает........
    Изображения Изображения
    • Тип файла: jpg 123.JPG (84.6 Кб, 13 просмотров)
    Вложения Вложения
    • Тип файла: zip gmer.zip (96.7 Кб, 3 просмотров)
    Последний раз редактировалось Hazard163; 31.12.2008 в 20:16. Причина: .

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Это что, шутка?

  4. #3
    Junior Member Репутация
    Регистрация
    15.12.2008
    Сообщений
    15
    Вес репутации
    34
    Что значит шутка? ты о чём? Что именно тебе не понравилось?

    кстати ещё одно подозрение , может мне поставили SQL Server 2005 ,без моего ведома?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1293
    Цитата Сообщение от Hazard163 Посмотреть сообщение
    может мне поставили SQL Server 2005 ,без моего ведома?
    Ну, в принципе, есть програмы, которые вместе с собой ставят ещё и SQL Express, - им для работы СУБД нужна.

    P.S. Вообще-то в этом разделе гадают по логам. Учтите, это намёк (c)

  6. #5
    Junior Member Репутация
    Регистрация
    15.12.2008
    Сообщений
    15
    Вес репутации
    34
    ....
    Последний раз редактировалось V_Bond; 01.01.2009 в 12:53. Причина: оскорбление участников форума ....

  • Уважаемый(ая) Hazard163, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. опять я с win/32
      От Georgos в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 19.06.2009, 11:00
    2. Опять((
      От Shade в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 09:07
    3. опять ЦП загружен на 100%. Опять вирус?
      От cosack в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.10.2008, 21:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00370 seconds with 17 queries