Форум esetnod32.ru [тема: Помогите определить вирус (UEFI? Nemesis? Mshta?)] http://forum.esetnod32.ru Новое в теме Помогите определить вирус (UEFI? Nemesis? Mshta?) форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Mon, 20 Apr 2026 03:07:52 +0300 Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.
Сложная Капча, Вы просто начитались всякой хрени в сети и решили это примерить на Себя.
Из всего, того то Вы привели "якобы" в подтверждение, всё это чушь - почитайте хотя бы за SDN, прежде чем утверждать за подмену адресов.
Если не хотите никакой "якобы" слежки от программного обеспечения - просто не подключайтесь к глобальной сети...
18.11.2020 20:11:42, Мартынов Николай.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message111022/ http://forum.esetnod32.ru/messages/forum17/topic16189/message111022/ Wed, 18 Nov 2020 20:11:42 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.

====quote====
Сложная Капча написал:
santy , хочу услышать ваше мнение тоже.
=============
нужен образ вашей скомпроментированной (по вашему мнению) системы, созданный из под загрузочного диска winpe&uVS.
ссылки на файл iso-образа и как его развернуть на USB-диск вам были предоставлены.
(по тексту - много сообщений, клиническая картина непонятна, а ваши сообщения пока что мало чего не проясняют)

---------
BlueBorne:
судя по описанию:
По словам исследователей безопасности из компании Armis[1], обнаруживших уязвимости, проблемы BlueBorne невозможно обнаружить и исправить стандартными методами, а для эксплуатации багов злоумышленнику не требуется ни взаимодействие с пользователем, ни сопряжение с целевым устройством. Единственная необходимость — включённый Bluetooth на устройстве «жертвы». Уязвимости затрагивают практически все типы устройств, от смартфонов, ноутбуков и носимых гаджетов до IoT-девайсов и «умных» автомобилей.

CVE-2017-8628[8] — Логическая уязвимость в Windows (Bluetooth Pineapple);

Windows

Все версии Windows, начиная с Vista, подвержены «Bluetooth Pineapple» уязвимости, которая позволяет произвести атаку Man-in-The-Middle (CVE-2017-8628[8]).

   Уязвимость удалённого выполнения кода № 1 (CVE-2017-0781[5])

Уязвимость присутствует в службе протокола BNEP (Bluetooth Network Encapsulation Protocol), который позволяет обмениваться Интернетом через соединение Bluetooth (модем). Из-за недостатка в службе BNEP хакер может вызвать повреждение оперативной памяти, которое позволяет ему запускать код на устройстве, предоставляя ему полный контроль. Из-за отсутствия правильных проверок авторизации запуск этой уязвимости не требует взаимодействия с пользователем, проверки подлинности или сопряжения, поэтому целевой пользователь не знает о текущей атаке.

Атака BlueBorne на Windows

   Уязвимость Man-in-The-Middle № 2 (CVE-2017-8628[8])

Эта уязвимость идентична найденной в операционной системе Android, и влияет на обе системы, так как они разделяют одни и те же принципы реализации протокола Bluetooth. Данная уязвимость находится в стеке Bluetooth и позволяет злоумышленнику создать вредоносный сетевой интерфейс на устройстве жертвы, заново настроить IP-маршрутизацию и заставить устройство передавать через него все сообщения. Эта атака не требует взаимодействия с пользователем, проверки подлинности или сопряжения, что делает её практически невидимой.

-------
Компания Microsoft выпустила обновления для системы безопасности поддерживаемых версий (начиная с Windows 7)

Рекомендуется полное отключение Bluetooth до тех пор, пока не будет установлен патч для соответствующего устройства. Использование Bluetooth только при необходимости позволит существенно сузить возможности хакеров для взлома.
17.11.2020 13:44:41, santy.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message111002/ http://forum.esetnod32.ru/messages/forum17/topic16189/message111002/ Tue, 17 Nov 2020 13:44:41 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.

====quote====
santy написал:
можете напрямую (без роутера) подключить ваш новый ноут, выйти с него в инет, скачать образ iso, и на нем же сделать загрузочный usb диск
=============
santy, хочу услышать ваше мнение тоже.
Может быть вы со стороны своего более квалифицированного взгляда можете дать мне советы по детектированию и поиску? Проверку виртуализации может провести как-то можно? Или поиск дропера в условиях ограниченного исполнения и логирования можно произвести?
а то когда я попросил прямого совета у этого товарища по проведению тестов - у него внезапно муза в одном месте заиграла, и убежал в неизвестность избегая ответа.

Еще хочу добавить - я использую дома кнопочный двухсимочный телефон (с Bluetooth и возможностью создавать точки доступа) - Aceline Fl1. Он использовался для доставки оповещений в виде звонков на другие мои телефоны. Сейчас я полазал в нем и обнаружил что настройки зашиты паролем, на телефона вроде бы как появились расширенные возможности по BT подключениям и собственно возможность организовать точку. телефон я этот покупал сам и никакие настройки не блокировал. Могла ли иметь место атака blueborne? Подробнее об этом в теме (+виртуализация системы, непонятные вирт. адаптеры, подключение IPv6 и т.п.) я писал выше

Я кидаю вам логи с ноутбука который приобрел позавчера т.к. в бесконечных попытках победить вирус на основном пк система была уничтожена,диски уже по 2 раза форматировались в GPT и т.д., и т.п...., т.е. провести тесты на контрольной заражённой машине уже не могу, пока не накачу ОС по новой. Но что и где мне в первую очередь искать, чтобы поймать улики на чистой системе?


16.11.2020 23:48:31, Сложная Капча.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110996/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110996/ Mon, 16 Nov 2020 23:48:31 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.
Кольридж, Сэмюэл Тейлор
Кубла Хан, или Видение во сне...

In Xanadu did Kubla Khan
A stately pleasure-dome decree :
Where Alph, the sacred river, ran
Through caverns measureless to man
Down to a sunless sea.
So twice five miles of fertile ground
With walls and towers were girdled round :
And there were gardens bright with sinuous rills,
Where blossomed many an incense-bearing tree ;
And here were forests ancient as the hills,
Enfolding sunny spots of greenery.


But oh, that deep romantic chasm which slanted
Down the green hill athwart a cedarn cover!
A savage place, as holy and enchanted
As e'er beneath a waning moon was haunted
By woman wailing for her demon-lover!
And fr om this chasm, with ceaseless turmoil seething,
As if this earth in fast thick pants were breathing,
A mighty fountain momently was forced
Amid whose swift half-intermitted burst
Huge fragments vaulted like rebounding hail,
Or chaffy grain beneath the thresher's flail!
And 'mid these dancing rocks at once and ever,
It flung up momently the sacred river.
Five miles meandering with a mazy motion
Through wood and dale the sacred river ran,
Then reached the caverns measureless to man,
And sank in tumult to a lifeless ocean.
And 'mid this tumult Kubla heard from far
Ancestral voices prophesying war!


The shadow of the dome of pleasure
Floated midway on the waves ;
Wh ere was heard the mingled measure
From the fountain and the caves.
It was a miracle of rare device,
A sunny pleasure-dome with caves of ice!
A damsel with a dulcimer
In a vision once I saw :
It was an Abyssinian maid,
And on her dulcimer she played,
Singing of Mount Abora.
Could I revive within me
Her symphony and song,
To such a deep delight 'twould win me,
That with music loud and long,
I would build that dome in air,
That sunny dome ! those caves of ice !
And all who heard should see them there,
And all should cry, Beware ! Beware !
His flashing eyes, his floating hair !
Weave a circle round him thrice,
And close your eyes with holy dread,
For he on honey-dew hath fed,
And drunk the milk of Paradise.

-----------------------------------------

Кубла Хан, или Видение во сне
Перевод К.Д. Бальмонта


В стране Ксанад благословенной
Дворец построил Кубла Хан,
Где Альф бежит, поток священный,
Сквозь мглу пещер гигантских, пенный,
Впадает в сонный океан.


На десять миль оградой стен и башен
Оазис плодородный окружен,
Садами и ручьями он украшен.
В нем фимиам цветы струят сквозь сон,
И древний лес, роскошен и печален,
Блистает там воздушностью прогалин.


Но между кедров, полных тишиной,
Расщелина по склону ниспадала.
О, никогда под бледною луной
Так пышен не был тот уют лесной,


Где женщина о демоне рыдала.
Пленительное место! Из него,
В кипенье беспрерывного волненья,
Земля, как бы не в силах своего
Сдержать неумолимого мученья,
Роняла вниз обломки, точно звенья
Тяжелой цепи: между этих скал,
Где камень с камнем бешено плясал,
Рождалося внезапное теченье,
Поток священный быстро воды мчал,
И на пять миль, изгибами излучин,
Поток бежал, пронзив лесной туман,
И вдруг, как бы усилием замучен,
Сквозь мглу пещер, где мрак от влаги звучен,
В безжизненный впадал он океан.
И из пещер, где человек не мерял
Ни призрачный объем, ни глубину,
Рождались крики: вняв им, Кубла верил,
Что возвещают праотцы войну.


И тень чертогов наслажденья
Плыла по глади влажных сфер,
И стройный гул вставал от пенья,
И странно-слитен был размер
В напеве влаги и пещер.
Какое странное виденье --
Дворец любви и наслажденья
Меж вечных льдов и влажных сфер.


Стройно-звучные напевы
Раз услышал я во сне,
Абиссинской нежной девы,
Певшей в ясной тишине,
Под созвучья гуслей сонных,
Многопевных, многозвонных,
Ливших зов струны к струне.
О, когда б я вспомнил взоры
Девы, певшей мне во сне
О Горе святой Аборы,
Дух мой вспыхнул бы в огне,
Все возможно было б мне.
В полнозвучные размеры
Заключить тогда б я мог
Эти льдистые пещеры,
Этот солнечный чертог


Их все бы ясно увидали
Над зыбью, полной звонов, дали,
И крик пронесся б, как гроза:
Сюда, скорей сюда, глядите,
О, как горят его глаза!
Пред песнопевцем взор склоните,
И этой грезы слыша звон,
Сомкнемся тесным хороводом,
Затем что он воскормлен медом
И млеком рая напоен!
15.11.2020 19:59:21, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110989/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110989/ Sun, 15 Nov 2020 19:59:21 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.

====quote====
RP55 RP55 написал:

====quote====
 Сложная Капча  написал:
если бы не восстановившиеся скрытые файлы (СПУСТЯ 3-4часа)
=============
Система постоянно работает со скрытыми файлами - они для того и скрыты _от пользователя.
Создаёт новые, удаляет старые - это везде на всех системах Windows

====quote====
 Сложная Капча  написал:
Это были 19 файлов PUP.Gen.1  
=============
RogueKiller ...
Типа этого:

====quote====
[PUP.Gen1 (Potentially Malicious)] (folder) DriverSetupUtility -- C:\ProgramData\DriverSetupUtility -> Found
[PUP.Gen1 (Potentially Malicious)] (folder) DriverSetupUtility -- C:\Program Files\DriverSetupUtility -> Found
=============
Вы понимаете, что им найдено ?
Driver Setup Utility — Это _Компонент Acer для автоматического обновления драйверов.

Вы знаете почему на ВСЕХ форумах безопасности работают только с несколькими сканерами и спц утилитами типа: uVS ; FRST
Да потому, что у них практически нет ложных срабатываний и определений и они не пишут всякую ахинею в отчётах\логах.

====quote====
 Сложная Капча  написал:
ESETnod32 internet security - он был обезврежен и не был способен находить вирусные сигнатуры т.к. его библиотеки и модули подверглись изменению.
=============
У всех нормальных антивирусов есть режим самозащиты, и _проверки файлов перед их загрузкой\запуском на целостность. Если файл повреждён - антивирус так и напишет - что модуль ХХХ не функционирует.

====quote====
 Сложная Капча  написал:
А вот утилита AVZ
=============
Я вам ещё в прошлой теме писал - у вас старая версия.
Разработчик фактически не поддерживает программу ( формально поддерживает ) - с программой работают на ресурсах Касперского и скачивать программу нужно с их сайта.
А не работать с программой от 2016 года.
Что она может найти с базами от 16 - года ?
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37
И подозрительный процесс - это подозрительный процесс и не более того.
Если я в своей системе запущу AVZ программа и у меня ( да и в любой системе ) найдёт 5-10 подозрительных процессов.
Чаще всего это модули защиты.
И отчёт нужно делать по инструкции !

====quote====
 Сложная Капча  написал:
вирус скорее всего находится в разделе UEFI
=============
Значит судьба такая.
Здесь даже обновление версии BIOS\UEFI не поможет.

====quote====
 Сложная Капча  написал:
зашел в  биос и обнаружил что прошивка которая всегда была 2018 года релиза стала  вдруг 2016.
=============
Технология Dual BIOS  - знакомы с ней ?
Если у вас был сбой электропитания... или иные проблемы с железом...

====quote====
Если «основная» копия BIOS была повреждена в произвольный момент, то «резервная» автоматически подменит её при следующей загрузке системы и восстановлении.
=============


=============







Хорошо, идем дальше. Вы можете как-то аргументировать внезапное появление (на моем обычном ПК) 5-ти виртуальных интерфейсов-адаптеров сети, на как-бы то ни-было странно 6-ти ядерном процессоре?
Принудительное включение ipv6, при том что настройки адаптера заданы вручную и только для ipv4?
Регулярную долбежку по 53, 5353, 137 порту и т.п., блокировку десятков разных УСТРОЙСТВ (не приложений или доменов) и сотен попыток подключений к ним вашим антивирусом eset модулем защиты сети? Временами невнятные downgrade ssl сертификата на некоторых страницах и переброс на http?

Несколько месяцев назад я боролся в своей сети с подменой dns (отравление dns кэша, dns спуфинг или просто MiTM атака - называйте как хотите), я знаю о чем говорю и уж точно не стал бы поднимать кипишь на пустом месте.


Я уже наслышан о том что современные вирусы приучились использовать виртуализацию системы для сокрытия вредоносных сигнатур и процессов, и черт возьми это виртуализация МОЕЙ системы, в которой они при получении доступа могут делать абсолютно все что угодно.



Лучше подскажите мне как бы я это мог проверить, провести тесты, найти доказательства виртуализации и т.п., чем отговаривайте меня выставляя меня дурачком.



Я на 80% уверен что имеет место быть экспуатации blueborn, все следы указывают именно на нее. Если вы знаете о методиках проверки использования данной уязвимости лучше сообщите как я могу это проверить.



На подобных форумах часто пишут не принимать помощь от незнакомцев. Пока что вы выглядите именно так, пытаясь меня переубедить в отсутсвии проблемы


На текущий момент были предприняты следующие действия для снижения рисков:
отключение виртуализации в bios, отключение работы всех ядер и работа в однопоточном(одноядерном) режиме. Скажите в этот раз лучше чтонибудь полезное, а то мы уже 4 страницы нафлудили.


даже конкретно сейчас на форуме у меня висит предупреждение что соединение не защищено по причине присутствия на странице favicon тянущегося по протоколу http. А так же заблокированную попытку установки аддона с этого сайта.

на это тоже найдете свою отмазку?
15.11.2020 19:14:02, Сложная Капча.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110988/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110988/ Sun, 15 Nov 2020 19:14:02 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.

====quote====
Сложная Капча написал:
если бы не восстановившиеся скрытые файлы (СПУСТЯ 3-4часа)
=============
Система постоянно работает со скрытыми файлами - они для того и скрыты _от пользователя.
Создаёт новые, удаляет старые - это везде на всех системах Windows


====quote====
Сложная Капча написал:
Это были 19 файлов PUP.Gen.1  
=============
RogueKiller ...
Типа этого:

====quote====
[PUP.Gen1 (Potentially Malicious)] (folder) DriverSetupUtility -- C:\ProgramData\DriverSetupUtility -> Found
[PUP.Gen1 (Potentially Malicious)] (folder) DriverSetupUtility -- C:\Program Files\DriverSetupUtility -> Found
=============

Вы понимаете, что им найдено ?
Driver Setup Utility — Это _Компонент Acer для автоматического обновления драйверов.

Вы знаете почему на ВСЕХ форумах безопасности работают только с несколькими сканерами и спц утилитами типа: uVS ; FRST
Да потому, что у них практически нет ложных срабатываний и определений и они не пишут всякую ахинею в отчётах\логах.

====quote====
Сложная Капча написал:
ESETnod32 internet security - он был обезврежен и не был способен находить вирусные сигнатуры т.к. его библиотеки и модули подверглись изменению.
=============
У всех нормальных антивирусов есть режим самозащиты, и _проверки файлов перед их загрузкой\запуском на целостность. Если файл повреждён - антивирус так и напишет - что модуль ХХХ не функционирует.


====quote====
Сложная Капча написал:
А вот утилита AVZ
=============

Я вам ещё в прошлой теме писал - у вас старая версия.
Разработчик фактически не поддерживает программу ( формально поддерживает ) - с программой работают на ресурсах Касперского и скачивать программу нужно с их сайта.
А не работать с программой от 2016 года.
Что она может найти с базами от 16 - года ?
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37
И подозрительный процесс - это подозрительный процесс и не более того.
Если я в своей системе запущу AVZ программа и у меня ( да и в любой системе ) найдёт 5-10 подозрительных процессов.
Чаще всего это модули защиты.
И отчёт нужно делать по инструкции !


====quote====
Сложная Капча написал:
вирус скорее всего находится в разделе UEFI
=============
Значит судьба такая.
Здесь даже обновление версии BIOS\UEFI не поможет.


====quote====
Сложная Капча написал:
зашел в  биос и обнаружил что прошивка которая всегда была 2018 года релиза стала  вдруг 2016.
=============
Технология Dual BIOS  - знакомы с ней ?
Если у вас был сбой электропитания... или иные проблемы с железом...


====quote====
Если «основная» копия BIOS была повреждена в произвольный момент, то «резервная» автоматически подменит её при следующей загрузке системы и восстановлении.
=============

15.11.2020 17:40:32, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110986/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110986/ Sun, 15 Nov 2020 17:40:32 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.
я сразу добавлю что имел место быть инцидент когда я однажды зашел в  биос и обнаружил что прошивка которая всегда была 2018 года релиза стала  вдруг 2016. конечно я ее заменил, но видимо было уже поздно. Я не шучу и  не паранойю, это вирус разряда UEFI/BIOS. И исполнятся он именно в  ядре. Многие виндовсовские библиотеки а так же процессы показывают  аномальную активность/поведение при детальном рассмотрении утилитой AVZ  (просмотр библиотек, расширений ядра, внедренных потоков)


это можно наглядно увидеть в отчете AVZ - avz_services.htm  

Многие библиотеки имеют странные окончания типа _92155 и при этом являются дубликатом оригинальной библиотеки с таким названием


15.11.2020 16:55:55, Сложная Капча.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110984/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110984/ Sun, 15 Nov 2020 16:55:55 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.

====quote====
RP55 RP55 написал:
Подпись исполняемого кода\файла.
-----
Загружаем файл на virustotal ( сервис определяет целостность\легитимность подписи )
Открываем вкладку:  DETAILS  находим строку: Signed file, valid signature
И смотрим кто подписал ( какая компания )
=============


знаете, на какое-то время вы меня даже переубедили. Я поверил в собственную паранойю. Думаю - не будут же мне ГЛУПЫХ советов давать специалисты профильные.  Я отложил в сторону ноутбук и принялся за восстановление основного ПК.  
И может быть я бы и согласился с вами, что файлы чисты, что это все мои глубокие заблужения - если бы не восстановившиеся скрытые файлы (СПУСТЯ 3-4часа) из раздела Recovery при чем без какой либо перезагрузки.  
Поискав на других рессурсах я все же нашел утилиту способную детектировать вирусы. Это были 19 файлов PUP.Gen.1  

Давайте теперь начнем еще раз, сначала. И не надо пожалуйста меня дураком выставлять. Вы сами то хоть достаточно квалифицированны что-бы таким поучительным тоном рассказывать мне о банальных вещах?

Я прикладываю отчеты RogueKiller. Бувально в МОМЕНТ, думаю даже еще при установке вашего антивирусника ESETnod32 internet security - он был обезврежен и не был способен находить вирусные сигнатуры т.к. его библиотеки и модули подверглись изменению.
и НАДО ЖЕ(!) несмотря на вмешательство в файлы антивируса а так же и во многие другие, подписанные WINDOWS, подписи остались целыми и никаких срабатываний и обнаружений в помине не было.
А вот утилита AVZ благодаря возможности прямого чтения с диска все же умеет определять недоверительные файлы и соответственно их помечает.

И так, если вы еще не поняли то я не шутки тут шучу. И как я изначально и сообщил вам - вирус скорее всего находится в разделе UEFI и исполняется на уровне ядра, оставаясь недосягаемым для обычных антивирусов.
Сообщите какая информация вам нужна для определения проблемы. И обратите внимание пожалуйста на "ПОДМЕНУ" а не редирект ссылки, 2020 год весьма плодовит на нахождение новых уязвимостей, и кто знает что мы встретим завтра?
Если вы явяетесь компетентным лицом для связи с разработчиками советую вам обратить их внимание на мой случай. Я не говорю что он уникальный и возможно вирус уже опознан ведущими компаниями, однако ваши советы по детектированию вируса ни к чему не привели.
Давайте попробуем еще раз найти причину и в случае возникновения трудностей прошу скоординировать меня - куда и к кому мне стоит обратиться дальше, если здесь вы мне ничем помочь не можете?

Надеюсь на этот раз вы уделите достаточно времени для изучения отчетов и конкретно тех моментов на которые я вам указал. Я не какой-то нуб который выкидывает предположения с потолка. За попытками вылечить вирус прошло уже порядка 3-4 месяцев, и постепенно я отсеивал самые популярные связки и возможные известные варианты.
Если бы я мог самостоятельно определить что-это за вирус, я бы вам сюда не писал. Так что давайте, включаем мозги и думаем что это за зверь такой?
Отчеты.zip
15.11.2020 14:39:51, Сложная Капча.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110981/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110981/ Sun, 15 Nov 2020 14:39:51 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.
Подпись исполняемого кода\файла.
-----
Загружаем файл на virustotal ( сервис определяет целостность\легитимность подписи )
Открываем вкладку:  DETAILS  находим строку: Signed file, valid signature
И смотрим кто подписал ( какая компания )
15.11.2020 12:16:11, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110980/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110980/ Sun, 15 Nov 2020 12:16:11 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.
это тоже по вашему я понапридумывал?
Первые ссылки по имени драйвера - spy malware/trojan

15.11.2020 06:29:16, Сложная Капча.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110979/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110979/ Sun, 15 Nov 2020 06:29:16 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.

====quote====
Сложная Капча написал:

1) Если файлы с сайта ESET загружаете - тоже подмена ссылок ?
Есть подмена, а есть пере-направление - разницу понимаете ?
Т.е есть сайт и есть ресурс где этот сайт _хранит файлы. Это два разных адреса - или три.
Вы приходите на сайт - и загружаете файл, или с сайта, или же с ресурса\сервера - где и лежат эти файлы.

2) обнаружение вирусной активности утилитой uVS и AVZ и даже hijackthis
=============
Где ?
Вы разбираетесь в отчётах\логах ?


====quote====
Сложная Капча написал:
3) подозрительные отчеты о файловой активности якобы "чистых" файлов и даже детектирование на просто переход по ссылке в анализаторах-песочницах
=============
Вы знаете, что такое: ЭЦП; SHA1 файла ?
SHA-1 9bf6d9bbc06150a933b4171d55c7a8a297cd9cc5
Загруженные вами для проверки файлы от оригинала не отличаться т.е. эти же файлы лежат на серверах производителя.

Просто так всё подряд меняют только файловые вирусы, но при этом они файл портят - изменяется подконтрольна сумма файла ( SHA1 ) или его цифровая подпись ( файл подписывает разработчик\производитель программы ) У вас целые файлы.

Есть вирусы которые могут это маскировать - маскировать _только тогда когда они сами активны.
А вы проверяет чистые файлы.

4) Почему у вас слетают настройки системы ?
Может вы не подтвердили принятые изменения, или какая другая причина.
14.11.2020 20:31:06, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110961/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110961/ Sat, 14 Nov 2020 20:31:06 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.

====quote====
RP55 RP55 написал:
Файлы чистые - что ещё нужно ?
----
Здесь не Интернет Университет.
-----
Программа при запуске проверяет доступность обновлений = сетевая активность.
Программ изменяет загрузочные сектора на флэшке - может потребоваться повышение прав\привилегий
и т.д.
-----
В общем предлагаю тему закрыть.
=============
Вы издеваетесь?
У меня целый ряд проблем и ни по одной из них я не получил ни прояснения ни даже предположений с чем это может быть связано.
1) подмена ссылки при попытке скачки с ресурса
2) обнаружение вирусной активности утилитой uVS и AVZ и даже hijackthis
3) подозрительные отчеты о файловой активности якобы "чистых" файлов и даже детектирование на просто переход по ссылке в анализаторах-песочницах
4) и да, при каждой перезагрузке даже после смены параметров (например отключение автозагрузки с внешних носителей) - настройки возвращаются обратно. По крайней мере этот пункт может говорить о присутствии вирусной активности

И я не говорю уже о том что делаю это все на только что распакованном ноутбуке который никак не мог контактировать с зараженными устройствами или сетями

Прошу вас внимательнее изучить детали предоставленных данных и провести более глубокий анализ самостоятельно (ввиду моей низкой квалификации в области обнаружения)
14.11.2020 19:47:22, Сложная Капча.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110960/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110960/ Sat, 14 Nov 2020 19:47:22 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.
Файлы чистые - что ещё нужно ?
----
Здесь не Интернет Университет.
-----
Программа при запуске проверяет доступность обновлений = сетевая активность.
Программ изменяет загрузочные сектора на флэшке - может потребоваться повышение прав\привилегий
и т.д.
-----
В общем предлагаю тему закрыть.
14.11.2020 19:41:48, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110959/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110959/ Sat, 14 Nov 2020 19:41:48 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.

====quote====
RP55 RP55 написал:
Вы намекаете, что на сайте производителя заражённые файлы
Я вас правильно понял
=============
Я просто пытаюсь выяснить причину такого поведения. Я предоставил достаточно много доказательств подозрительной активности и данные отчетов других сервисов меня по большей части очень тревожат. Пожалуйста, если вы можете как-то объяснить такое поведение РАЗНЫХ сайтов, разных программ - не могли бы вы меня успокоить?
Для себя я все еще не смог найти оправдания или какой-либо другой причины такого проявления подозрительной активности, может есть разбирающиеся спецы которые растолкуют данные отчетов и в целом моей проблемы?  
14.11.2020 19:22:54, Сложная Капча.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110957/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110957/ Sat, 14 Nov 2020 19:22:54 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.
Вы намекаете, что на сайте производителя заражённые файлы
Я вас правильно понял ?
14.11.2020 19:18:17, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110956/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110956/ Sat, 14 Nov 2020 19:18:17 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.

====quote====
RP55 RP55 написал:
Или вы выполняете рекомендации - или тема будет закрыта.
Проверяем файлы здесь:  https://www.virustotal.com/gui/home/upload
=============
я выполняю все ваши рекомендации, просто чаще отвечаю в тему. Пожалуйста помогите уже разобраться в вопросе. Я предоставил вам аж ДВА других отчета из других анализаторов которые видят вирус, а вирустотал нет. Вы вообще читали отчеты?

Вот еще один отчет который я сгенерировал уже лично сам а не взял ссылку из COMMUNITY/virustotal


https://www.joesandbox.com/analysis/534890Этот отчет свежий, сделан только что, и опять же вирус тотал ничего не нашел в этом же файле, я думаю по той простой причине что это файловый антивирус, и он не создает виртуальную среду для запуска приложения, а лишь проверяет его на сигнатурный анализ.
joesandbox и any.run являются песочницами с полноценной виртуальной средой и ОБЕ песочницы видят активность.
Конкретно за эту информацию может ктонибудь прояснить?
Я не доверяю отчету Virustotal, он буквально устарел в методах обнаружения
14.11.2020 19:01:24, Сложная Капча.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110954/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110954/ Sat, 14 Nov 2020 19:01:24 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.

====quote====
RP55 RP55 написал:
Сложная Капча

Подозрительный файл сюда:  https://www.virustotal.com/gui/home/upload
Ссылку на результат в тему.
=============
https://www.virustotal.com/gui/file/f37771fbb9a9747c255bfed791c8d25b170a05390c07b97­7ceed83fda2930db0...

Обратите внимание что в разделе COMMUNITY люди скинули ссылку на другой анализатор который в отличии от Virustotal видит подозрительную активность:

https://www.joesandbox.com/analysis/298812/0/html
14.11.2020 18:59:27, Сложная Капча.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110953/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110953/ Sat, 14 Nov 2020 18:59:27 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.
Или вы выполняете рекомендации - или тема будет закрыта.
Проверяем файлы здесь: https://www.virustotal.com/gui/home/upload
14.11.2020 18:56:36, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110952/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110952/ Sat, 14 Nov 2020 18:56:36 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.

====quote====
Сложная Капча написал:
Ничего не понимаю. Пожалуйста изучите результаты этого запуска:
https://app.any.run/tasks/f2e23660-8e5c-4eaf-8916-a32c1a29f8c7

Проблема в сайте? В приложении?  
=============
В догонку к этому отчету так же прилагаю отчет на аналогичную утилиту
Unetbootin:
https://app.any.run/tasks/d6657e51-3a1a-4c1c-a580-8653bca53a85




Первый отчет Rufus:
https://app.any.run/tasks/f2e23660-8e5c-4eaf-8916-a32c1a29f8c7


Аналогичное детектирование с попыткой изменения браузерных расширений. Есть кто расжует причины данных детектов?
14.11.2020 18:41:53, Сложная Капча.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110951/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110951/ Sat, 14 Nov 2020 18:41:53 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.
Сложная Капча

Подозрительный файл сюда: https://www.virustotal.com/gui/home/upload
Ссылку на результат в тему.
14.11.2020 18:41:16, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110950/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110950/ Sat, 14 Nov 2020 18:41:16 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.

====quote====
RP55 RP55 написал:
Создание загрузочного USB носителя с помощью программы Rufus:  https://www.comss.ru/page.php?id=2715
=============
пожалуйста посмотрите отчет который был сгенериррован сервисом any.run
ссылку скинул сообщением выше.
Кто-нибудь может объяснить почему многие действия были сдетектированы как вирусные? Начиная от запроса к DNS серверам и заканчивая (???) попыткой изменения системных параметров и даже изменения браузерных расширений (!!!)
14.11.2020 18:24:35, Сложная Капча.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110949/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110949/ Sat, 14 Nov 2020 18:24:35 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.
Создание загрузочного USB носителя с помощью программы Rufus: https://www.comss.ru/page.php?id=2715
14.11.2020 18:09:00, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110948/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110948/ Sat, 14 Nov 2020 18:09:00 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.
Ничего не понимаю. Пожалуйста изучите результаты этого запуска:
https://app.any.run/tasks/f2e23660-8e5c-4eaf-8916-a32c1a29f8c7

Проблема в сайте? В приложении?  
14.11.2020 17:53:04, Сложная Капча.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110947/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110947/ Sat, 14 Nov 2020 17:53:04 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.

====quote====
santy написал:
можете напрямую (без роутера) подключить ваш новый ноут, выйти с него в инет, скачать образ iso, и на нем же сделать загрузочный usb диск
=============
В том то и дело что НОВЫЙ вчера купленный ноутбук так еще и ни разу не был подключен ни к моему домашнему вайфаю, ни к другим устройствам в сети.
Сейчас в данный момент я использую свежекупленный (вчера) 4G модем и больше никак иначе. Однако как вы видите на ноутбуке все же есть какая-то вирусная активность.
Повторюсь что ноутбук НИКАК не контактировал и не связывался НИ С РОУТЕРОМ ни с другими устройствами в моем распоряжении.
Разве что могла быть эксплуатирована уязвимость со стороны зараженных устройств. Предполагаю что могла быть проведена атака ARP связанная с mac адресами, но уверености никакой в этом нет.
Повторюсь что судя по логам установки первым подвергся изменению именно драйвер Bluetooth.
Так же кажутся странными эти события драйвера диска...

disk.txt
14.11.2020 16:23:31, Сложная Капча.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110943/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110943/ Sat, 14 Nov 2020 16:23:31 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.

====quote====
RP55 RP55 написал:

====quote====
 Сложная Капча  написал:
купил чистый новый ноутбук, однако проблема наблюдается и на нем
=============
1) Напишите как и в чём это проявляется.
2) По поводу чистой системы - требование относиться к случаю заражения файлов файловым вирусом.
У вас нет файлового заражения.
=============
Все предоставленные логи были созданы на НОВОМ свежем ноутбуке.
На старых устройствах проявляется такая же проблема. Примерно аналогичные похожие логи с такими же проблемами.
Вот например: при попытке загрузить программу записи образов RUFUS при нажатии на ссылку: ====code==== 
https://github.com/pbatard/rufus/releases/download/v3.12/rufus-3.12.exe

Пример2: dev.mysql.com/get/Downloads/Connector-J/mysql-connector-java-5.1.49.zip
============= Загрузка начинается с:

====code==== 
https://github-production-release-asset-2e65be.s3.amazonaws.com/2810292/f23e6700-0e3a-11eb-89ee-3186bf677d8b?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAIWNJYAX4CSVEH53A%2F20201114%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20201114T125913Z&X-Amz-Expires=300&X-Amz-Signature=439cee824f0ed3d9dbbc3985c315e4821be614ee9df810bbda612fa3ce42e630&X-Amz-SignedHeaders=host&actor_id=0&key_id=0&repo_id=2810292&response-content-disposition=attachment%3B%20filename%3Drufus-3.12.exe&response-content-type=application%2Foctet-stream

Пример2: https://cdn.mysql.com//Downloads/Connector-J/mysql-connector-java-5.1.49.zip
=============

Такая проблема наблюдается со всеми ссылками с GitHub, и с многими популярными программами но все же не со всеми ссылками

Как убедиться в чистоте скачаного файла? Почему загрузка начинается с другой ссылки?

Загрузка вашего Live CD с dropbox опять же стартуется с:

====code==== 
https://uc6675e2385144c5675b2f66e78c.dl.dropboxusercontent.com/zip_download_get/AmkjxilYAxGUd7mbnJHpXMDgviqaqTD-o5qJ92CCSwrZhMu6HDbUTgpiMwoHpWotbKsCL_HHiAMXsRtzY9nI3BCa-XqdzsM7QxdYqY6Fa5inDg?_download_id=871203214673090437750596960116866756352975602409928259574890280037&_notify_domain=www.dropbox.com&dl=1
=============

dropboxusercontent.com - не бьется whois.

Я уже начинаю подозревать у себя паранойю, пожалуйста научите меня проверять полученные файлы правильным методом а не только проверкой на вирустотале. Может быть сверить хэш?


14.11.2020 16:11:43, Сложная Капча.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110942/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110942/ Sat, 14 Nov 2020 16:11:43 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.
можете напрямую (без роутера) подключить ваш новый ноут, выйти с него в инет, скачать образ iso, и на нем же сделать загрузочный usb диск
14.11.2020 16:03:31, santy.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110941/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110941/ Sat, 14 Nov 2020 16:03:31 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.

====quote====
santy написал:
скачать iso образ uVS&winpe можно из любой системы, если с нее есть выход в инет,
а вот загрузочный диск рекомендуем сделать на чистой системе, чтобы вы были уверены, что нет никаких закладок из подозрительной системы на стадии создания загр диска
=============
Это я понимаю, но где взять чистую систему? Все устройства в т.ч. мобильные судя по всему заражены (временами наблюдается подмена DNS, утечка dnsleak).
Сразу добавлю что роутер был пересброшен и выставлены достаточно ограничительные настройки доступа к конфигуратору роутера, однако ситуация сохраняется.
Повторюсь опять же что используя НОВЫЙ чистый только купленный ноутбук - он не был связан ни с какими устройствами а доступ в интернет осуществлялся только со свежекупленного 4g модема.
Так где все же взять чистую систему для записи образа? Как убедиться что флеш карта на которую я собираюсь записывать образ будет не зараженной и не причинит вреда новому устройству? (Допустим под этот случай я тоже куплю новую флешку) Но вопрос с системой и чистым устройством остается открытым
14.11.2020 15:58:49, Сложная Капча.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110940/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110940/ Sat, 14 Nov 2020 15:58:49 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.
скачать iso образ uVS&winpe можно из любой системы, если с нее есть выход в инет,
а вот загрузочный диск рекомендуем сделать на чистой системе, чтобы вы были уверены, что нет никаких закладок из подозрительной системы на стадии создания загр диска
14.11.2020 15:52:49, santy.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110939/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110939/ Sat, 14 Nov 2020 15:52:49 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.

====quote====
Сложная Капча написал:
купил чистый новый ноутбук, однако проблема наблюдается и на нем
=============
1) Напишите как и в чём это проявляется.
2) По поводу чистой системы - требование относиться к случаю заражения файлов файловым вирусом.
У вас нет файлового заражения.
14.11.2020 15:51:41, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110938/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110938/ Sat, 14 Nov 2020 15:51:41 +0300 Флудилка обо всем Помогите определить вирус (UEFI? Nemesis? Mshta?) Помогите определить вирус (UEFI? Nemesis? Mshta?) в форуме Флудилка обо всем.

====quote====
RP55 RP55 написал:
uVS - Live CD
=============
Пожалуйста объясните как безопасно провести эту операцию? В инструкции образ нужно качать с ЧИСТОЙ системы.
Я вчера специально под это дело и купил чистый новый ноутбук, однако проблема наблюдается и на нем, и буквально с первого запуска. Ноут был запечатан и запускался мной впервые
14.11.2020 15:39:27, Сложная Капча.]]> http://forum.esetnod32.ru/messages/forum17/topic16189/message110937/ http://forum.esetnod32.ru/messages/forum17/topic16189/message110937/ Sat, 14 Nov 2020 15:39:27 +0300 Флудилка обо всем