Форум esetnod32.ru [тема: UEFI руткит]

Форум esetnod32.ru [тема: UEFI руткит] http://forum.esetnod32.ru Новое в теме UEFI руткит форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sat, 02 May 2026 08:07:40 +0300 UEFI руткит UEFI руткит как такое чистится на пратике? в форуме Обращение в техническую поддержку.
Образ автозапуска с Live CD сделайте.
Если нет возможности записать на другом PC - сделайте на вашем.
24.10.2021 23:48:53, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum3/topic16591/message113192/ http://forum.esetnod32.ru/messages/forum3/topic16591/message113192/ Sun, 24 Oct 2021 23:48:53 +0300 Обращение в техническую поддержку UEFI руткит UEFI руткит как такое чистится на пратике? в форуме Обращение в техническую поддержку.
Эта фигня с самого момента старта системы начинается, ещё до загрузки процесс эксплорера. Самое интересное , что эта программа данной загрузки процессора не видит походу. Разница только по оборотам вентилятора заметна.
24.10.2021 23:43:53, Сергей Г.]]> http://forum.esetnod32.ru/messages/forum3/topic16591/message113191/ http://forum.esetnod32.ru/messages/forum3/topic16591/message113191/ Sun, 24 Oct 2021 23:43:53 +0300 Обращение в техническую поддержку UEFI руткит UEFI руткит как такое чистится на пратике? в форуме Обращение в техническую поддержку.

====quote====
Сергей Г написал:
Это была включена опция замены стандартного диспетчера на этот, он более продвинутый.
=============

А если отключить - что с нагрузкой на процессор ?
24.10.2021 23:32:14, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum3/topic16591/message113190/ http://forum.esetnod32.ru/messages/forum3/topic16591/message113190/ Sun, 24 Oct 2021 23:32:14 +0300 Обращение в техническую поддержку UEFI руткит UEFI руткит как такое чистится на пратике? в форуме Обращение в техническую поддержку.
Это была включена опция замены стандартного диспетчера на этот, он более продвинутый.

Про ссылку: буду читать, спасибо за информацию эту.
24.10.2021 23:31:23, Сергей Г.]]> http://forum.esetnod32.ru/messages/forum3/topic16591/message113189/ http://forum.esetnod32.ru/messages/forum3/topic16591/message113189/ Sun, 24 Oct 2021 23:31:23 +0300 Обращение в техническую поддержку UEFI руткит UEFI руткит как такое чистится на пратике? в форуме Обращение в техническую поддержку.

====quote====
Сергей Г написал:
Несколько грустно правда что для поиска вируса используется утилита, дроп которой детектится виндой как Trojan:Win32/Occamy.CED. :)))
=============

Программа после запуска стартует под другим именем ( чтобы избежать возможной блокировки со стороны вирусов ).
Поэтому эвристика ряда антивирусов так реагирует.
-----------
Z:\WINDOWS\PROCEXP64.EXE
Sysinternals Process Explorer
Действительна, подписано Microsoft Corporation
V.T: 2021-10-24 01:18 [2020-08-18] - Файл был чист на момент проверки.
CPU 1: 11,14%
CPU 2: 44,55%
cmdLine: "Z:\WINDOWS\PROCEXP64.EXE" "Z:\WINDOWS\SYSTEM32\TASKMGR.EXE"
HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger

---------
Сами делали ?
---------
Прочтите: https://forum.esetnod32.ru/forum8/topic15785/
24.10.2021 22:56:28, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum3/topic16591/message113188/ http://forum.esetnod32.ru/messages/forum3/topic16591/message113188/ Sun, 24 Oct 2021 22:56:28 +0300 Обращение в техническую поддержку UEFI руткит UEFI руткит как такое чистится на пратике? в форуме Обращение в техническую поддержку.
Согласен, гадать бессмысленно, надо проверять, чтобы не гадать далее вот ~~файл проверки uVS~~.
Несколько грустно правда что для поиска вируса используется утилита, дроп которой детектится виндой как Trojan:Win32/Occamy.CED. :)))
24.10.2021 16:41:58, Сергей Г.]]> http://forum.esetnod32.ru/messages/forum3/topic16591/message113186/ http://forum.esetnod32.ru/messages/forum3/topic16591/message113186/ Sun, 24 Oct 2021 16:41:58 +0300 Обращение в техническую поддержку UEFI руткит UEFI руткит как такое чистится на пратике? в форуме Обращение в техническую поддержку.

====quote====
Сергей Г написал:
Если она слила старый, замодила его и перешила обратно, ничего не должно видимо поменяться вроде.
=============

Что и как было ( или не было ) - можно только гадать.
Просто нужно смотреть и изучать.

https://habr.com/ru/company/eset/blog/425251/
24.10.2021 03:03:00, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum3/topic16591/message113183/ http://forum.esetnod32.ru/messages/forum3/topic16591/message113183/ Sun, 24 Oct 2021 03:03:00 +0300 Обращение в техническую поддержку UEFI руткит UEFI руткит как такое чистится на пратике? в форуме Обращение в техническую поддержку.

====quote====
Если некая программа ( вирус ) поменяла BIOS - то фактически она должна была его заменить на другой
=============
Если она слила старый, замодила его и перешила обратно, ничего не должно видимо поменяться вроде.
24.10.2021 02:33:58, Сергей Г.]]> http://forum.esetnod32.ru/messages/forum3/topic16591/message113182/ http://forum.esetnod32.ru/messages/forum3/topic16591/message113182/ Sun, 24 Oct 2021 02:33:58 +0300 Обращение в техническую поддержку UEFI руткит UEFI руткит как такое чистится на пратике? в форуме Обращение в техническую поддержку.

====quote====
Сергей Г написал:
Странно, ноут этот был куплен в 2015 а версия биоса стоит от 2013... но вроде бы эта версия которая стоит является крайней на эту систему. А что должно было поменяться?
=============

Если некая программа ( вирус ) поменяла BIOS - то фактически она должна была его заменить на другой ( на вариант разработанный плохими парнями )
В другом BIOS будет другая информация\код. ( дата, версия, вес )

Ищите информацию сравнивайте. Что есть, что должно быть.

====quote====
Сергей Г написал:
почему бут имидж надо писать на чистой системе оно что, его может на лету замодить в теории?
=============

Как правило в случае заражения руткитами\буткитами и т.д.заражённая машина по сети получает дополнительные модули\программы ( вирусы ) которые расширяют первоначальный функционал.
И они могут повлиять - добавить что-то своё.

====quote====
Сергей Г написал:
После запуска одной проги в песочнице
=============
Что показывает вирустотал ( результат в студию :)
-----
Программу ( вирус - ту, что запускали в Sandboxie) поместите в архив. На архив установите пароль: infected
его нужно отправить на почту safety@chklst.ru, sendvirus2011@gmail.com, support@esetnod32.ru
----------
Но всё это теория\лирика.
Нужны логи uVS - для анализа.
24.10.2021 02:29:45, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum3/topic16591/message113181/ http://forum.esetnod32.ru/messages/forum3/topic16591/message113181/ Sun, 24 Oct 2021 02:29:45 +0300 Обращение в техническую поддержку UEFI руткит UEFI руткит как такое чистится на пратике? в форуме Обращение в техническую поддержку.

====quote====
RP55 RP55 написал:
В меню Пуск введите команду: msinfo32
=============
Странно, ноут этот был куплен в 2015 а версия биоса стоит от 2013... но вроде бы эта версия которая стоит является крайней на эту систему. А что должно было поменяться?

И ещё вопросик: почему бут имидж надо писать на чистой системе оно что, его может на лету замодить в теории?
24.10.2021 00:42:06, Сергей Г.]]> http://forum.esetnod32.ru/messages/forum3/topic16591/message113180/ http://forum.esetnod32.ru/messages/forum3/topic16591/message113180/ Sun, 24 Oct 2021 00:42:06 +0300 Обращение в техническую поддержку UEFI руткит UEFI руткит как такое чистится на пратике? в форуме Обращение в техническую поддержку.
+
В меню Пуск введите команду: msinfo32
Запуститься msinfo32.exe и покажет информацию о системе.
В том числе версию BIOS
Если вы знаете какая у вас должна быть версия: номер, год и т.д...
То можно сравнить\посмотреть: что и как.
Можно посмотреть - что официально выходило ( какой BIOS год\версия) и сравнить ориентируясь на модель материнской платы и поиск на сайте производителя.
--------
Есть программы для создания копии BIOS типа: BIOS Bacup ToolKit
Некоторые программы прошивки\обновления предлагают предварительно создать\сохранить резервную копию.
Полученную резервную копию можно проверить здесь: https://www.virustotal.com/gui/home/upload
( если получиться - результаты в студию :) )
23.10.2021 23:20:06, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum3/topic16591/message113179/ http://forum.esetnod32.ru/messages/forum3/topic16591/message113179/ Sat, 23 Oct 2021 23:20:06 +0300 Обращение в техническую поддержку UEFI руткит UEFI руткит как такое чистится на пратике? в форуме Обращение в техническую поддержку.
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

! Здесь внизу страницы есть меню: Загрузить файлы.
---------
Можно в безопасном режиме системы.
или с Live usb диска. ( uVS )
---------
можно применить метод поиска руткитов по файлу сверки
http://forum.esetnod32.ru/forum9/topic2729/
+
Создайте лог в uVS - Live CD
http://forum.esetnod32.ru/forum6/topic2102/
http://forum.esetnod32.ru/forum9/topic683/
23.10.2021 22:54:36, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum3/topic16591/message113178/ http://forum.esetnod32.ru/messages/forum3/topic16591/message113178/ Sat, 23 Oct 2021 22:54:36 +0300 Обращение в техническую поддержку UEFI руткит UEFI руткит как такое чистится на пратике? в форуме Обращение в техническую поддержку.
Как точно подтвердить? Как лечить? Просто перешить биос с флешки и с нуля ОС?
23.10.2021 21:28:15, Сергей Г.]]> http://forum.esetnod32.ru/messages/forum3/topic16591/message113174/ http://forum.esetnod32.ru/messages/forum3/topic16591/message113174/ Sat, 23 Oct 2021 21:28:15 +0300 Обращение в техническую поддержку