Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Выбрать дату в календареВыбрать дату в календаре

Помогите определить вирус (UEFI? Nemesis? Mshta?)
[QUOTE]santy написал:
можете напрямую (без роутера) подключить ваш новый ноут, выйти с него в инет, скачать образ iso, и на нем же сделать загрузочный usb диск[/QUOTE]
santy, хочу услышать ваше мнение тоже.
Может быть вы со стороны своего более квалифицированного взгляда можете дать мне советы по детектированию и поиску? Проверку виртуализации может провести как-то можно? Или поиск дропера в условиях ограниченного исполнения и логирования можно произвести?
а то когда я попросил прямого совета у этого товарища по проведению тестов - у него внезапно муза в одном месте заиграла, и убежал в неизвестность избегая ответа.

Еще хочу добавить - я использую дома кнопочный двухсимочный телефон (с Bluetooth и возможностью создавать точки доступа) - Aceline Fl1. Он использовался для доставки оповещений в виде звонков на другие мои телефоны. Сейчас я полазал в нем и обнаружил что настройки зашиты паролем, на телефона вроде бы как появились расширенные возможности по BT подключениям и собственно возможность организовать точку. телефон я этот покупал сам и никакие настройки не блокировал. Могла ли иметь место атака blueborne? Подробнее об этом в теме (+виртуализация системы, непонятные вирт. адаптеры, подключение IPv6 и т.п.) я писал выше

Я кидаю вам логи с ноутбука который приобрел позавчера т.к. в бесконечных попытках победить вирус на основном пк система была уничтожена,диски уже по 2 раза форматировались в GPT и т.д., и т.п...., т.е. провести тесты на контрольной заражённой машине уже не могу, пока не накачу ОС по новой. Но что и где мне в первую очередь искать, чтобы поймать улики на чистой системе?

Помогите определить вирус (UEFI? Nemesis? Mshta?)
[QUOTE]RP55 RP55 написал:
[QUOTE] Сложная Капча написал:
если бы не восстановившиеся скрытые файлы (СПУСТЯ 3-4часа)[/QUOTE]
Система постоянно работает со скрытыми файлами - они для того и скрыты _от пользователя.
Создаёт новые, удаляет старые - это везде на всех системах Windows
[QUOTE] Сложная Капча написал:
Это были 19 файлов PUP.Gen.1   [/QUOTE]
RogueKiller ...
Типа этого:
[QUOTE][PUP.Gen1 (Potentially Malicious)] (folder) DriverSetupUtility -- C:\ProgramData\DriverSetupUtility -> Found
[PUP.Gen1 (Potentially Malicious)] (folder) DriverSetupUtility -- C:\Program Files\DriverSetupUtility -> Found[/QUOTE]
Вы понимаете, что им найдено ?
Driver Setup Utility — Это _Компонент Acer для автоматического обновления драйверов.

Вы знаете почему на ВСЕХ форумах безопасности работают только с несколькими сканерами и спц утилитами типа: uVS ; FRST
Да потому, что у них практически нет ложных срабатываний и определений и они не пишут всякую ахинею в отчётах\логах.
[QUOTE] Сложная Капча написал:
ESETnod32 internet security - он был обезврежен и не был способен находить вирусные сигнатуры т.к. его библиотеки и модули подверглись изменению. [/QUOTE]
У всех нормальных антивирусов есть режим самозащиты, и _проверки файлов перед их загрузкой\запуском на целостность. Если файл повреждён - антивирус так и напишет - что модуль ХХХ не функционирует.
[QUOTE] Сложная Капча написал:
А вот утилита AVZ [/QUOTE]
Я вам ещё в прошлой теме писал - у вас старая версия.
Разработчик фактически не поддерживает программу ( формально поддерживает ) - с программой работают на ресурсах Касперского и скачивать программу нужно с их сайта.
А не работать с программой от 2016 года.
Что она может найти с базами от 16 - года ?
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37
И подозрительный процесс - это подозрительный процесс и не более того.
Если я в своей системе запущу AVZ программа и у меня ( да и в любой системе ) найдёт 5-10 подозрительных процессов.
Чаще всего это модули защиты.
И отчёт нужно делать по инструкции !
[QUOTE] Сложная Капча написал:
вирус скорее всего находится в разделе UEFI[/QUOTE]
Значит судьба такая.
Здесь даже обновление версии BIOS\UEFI не поможет.
[QUOTE] Сложная Капча написал:
зашел в  биос и обнаружил что прошивка которая всегда была 2018 года релиза стала  вдруг 2016. [/QUOTE]
Технология Dual BIOS  - знакомы с ней ?
Если у вас был сбой электропитания... или иные проблемы с железом...
[QUOTE]Если «основная» копия BIOS была повреждена в произвольный момент, то «резервная» автоматически подменит её при следующей загрузке системы и восстановлении.[/QUOTE]

[/QUOTE]







Хорошо, идем дальше. Вы можете как-то аргументировать внезапное появление (на моем обычном ПК) 5-ти виртуальных интерфейсов-адаптеров сети, на как-бы то ни-было странно 6-ти ядерном процессоре?
Принудительное включение ipv6, при том что настройки адаптера заданы вручную и только для ipv4?
Регулярную долбежку по 53, 5353, 137 порту и т.п., блокировку десятков разных УСТРОЙСТВ (не приложений или доменов) и сотен попыток подключений к ним вашим антивирусом eset модулем защиты сети? Временами невнятные downgrade ssl сертификата на некоторых страницах и переброс на http?

Несколько месяцев назад я боролся в своей сети с подменой dns (отравление dns кэша, dns спуфинг или просто MiTM атака - называйте как хотите), я знаю о чем говорю и уж точно не стал бы поднимать кипишь на пустом месте.


Я уже наслышан о том что современные вирусы приучились использовать виртуализацию системы для сокрытия вредоносных сигнатур и процессов, и черт возьми это виртуализация МОЕЙ системы, в которой они при получении доступа могут делать абсолютно все что угодно.



Лучше подскажите мне как бы я это мог проверить, провести тесты, найти доказательства виртуализации и т.п., чем отговаривайте меня выставляя меня дурачком.



Я на 80% уверен что имеет место быть экспуатации blueborn, все следы указывают именно на нее. Если вы знаете о методиках проверки использования данной уязвимости лучше сообщите как я могу это проверить.



На подобных форумах часто пишут не принимать помощь от незнакомцев. Пока что вы выглядите именно так, пытаясь меня переубедить в отсутсвии проблемы


На текущий момент были предприняты следующие действия для снижения рисков:
отключение виртуализации в bios, отключение работы всех ядер и работа в однопоточном(одноядерном) режиме. Скажите в этот раз лучше чтонибудь полезное, а то мы уже 4 страницы нафлудили.


даже конкретно сейчас на форуме у меня висит предупреждение что соединение не защищено по причине присутствия на странице favicon тянущегося по протоколу http. А так же заблокированную попытку установки аддона с этого сайта.

на это тоже найдете свою отмазку?
Изменено: Сложная Капча - 15.11.2020 19:30:23
Помогите определить вирус (UEFI? Nemesis? Mshta?)
я сразу добавлю что имел место быть инцидент когда я однажды зашел в  биос и обнаружил что прошивка которая всегда была 2018 года релиза стала  вдруг 2016. конечно я ее заменил, но видимо было уже поздно. Я не шучу и  не паранойю, это вирус разряда UEFI/BIOS. И исполнятся он именно в  ядре. Многие виндовсовские библиотеки а так же процессы показывают  аномальную активность/поведение при детальном рассмотрении утилитой AVZ  (просмотр библиотек, расширений ядра, внедренных потоков)


это можно наглядно увидеть в отчете AVZ - avz_services.htm  

Многие библиотеки имеют странные окончания типа _92155 и при этом являются дубликатом оригинальной библиотеки с таким названием

Помогите определить вирус (UEFI? Nemesis? Mshta?)
[QUOTE]RP55 RP55 написал:
[URL=https://ru.wikipedia.org/wiki/%D0%9F%D0%BE%D0%B4%D0%BF%D0%B8%D1%81%D1%8C_%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D0%BD%D1%8F%D0%B5%D0%BC%D0%BE%D0%B3%D0%BE_%D0%BA%D0%BE%D0%B4%D0%B0]Подпись исполняемого кода\файла.[/URL]
-----
Загружаем файл на virustotal ( сервис определяет целостность\легитимность подписи )
Открываем вкладку:  DETAILS  находим строку: Signed file, valid signature
И смотрим кто подписал ( какая компания )[/QUOTE]


знаете, на какое-то время вы меня даже переубедили. Я поверил в собственную паранойю. Думаю - не будут же мне ГЛУПЫХ советов давать специалисты профильные.  Я отложил в сторону ноутбук и принялся за восстановление основного ПК.  
И может быть я бы и согласился с вами, что файлы чисты, что это все мои глубокие заблужения - если бы не восстановившиеся скрытые файлы (СПУСТЯ 3-4часа) из раздела Recovery при чем без какой либо перезагрузки.  
Поискав на других рессурсах я все же нашел утилиту способную детектировать вирусы. Это были 19 файлов PUP.Gen.1  

Давайте теперь начнем еще раз, сначала. И не надо пожалуйста меня дураком выставлять. Вы сами то хоть достаточно квалифицированны что-бы таким поучительным тоном рассказывать мне о банальных вещах?

Я прикладываю отчеты RogueKiller. Бувально в МОМЕНТ, думаю даже еще при установке вашего антивирусника ESETnod32 internet security - он был обезврежен и не был способен находить вирусные сигнатуры т.к. его библиотеки и модули подверглись изменению.
и НАДО ЖЕ(!) несмотря на вмешательство в файлы антивируса а так же и во многие другие, подписанные WINDOWS, подписи остались целыми и никаких срабатываний и обнаружений в помине не было.
А вот утилита AVZ благодаря возможности прямого чтения с диска все же умеет определять недоверительные файлы и соответственно их помечает.

И так, если вы еще не поняли то я не шутки тут шучу. И как я изначально и сообщил вам - вирус скорее всего находится в разделе UEFI и исполняется на уровне ядра, оставаясь недосягаемым для обычных антивирусов.
Сообщите какая информация вам нужна для определения проблемы. И обратите внимание пожалуйста на "ПОДМЕНУ" а не редирект ссылки, 2020 год весьма плодовит на нахождение новых уязвимостей, и кто знает что мы встретим завтра?
Если вы явяетесь компетентным лицом для связи с разработчиками советую вам обратить их внимание на мой случай. Я не говорю что он уникальный и возможно вирус уже опознан ведущими компаниями, однако ваши советы по детектированию вируса ни к чему не привели.
Давайте попробуем еще раз найти причину и в случае возникновения трудностей прошу скоординировать меня - куда и к кому мне стоит обратиться дальше, если здесь вы мне ничем помочь не можете?

Надеюсь на этот раз вы уделите достаточно времени для изучения отчетов и конкретно тех моментов на которые я вам указал. Я не какой-то нуб который выкидывает предположения с потолка. За попытками вылечить вирус прошло уже порядка 3-4 месяцев, и постепенно я отсеивал самые популярные связки и возможные известные варианты.
Если бы я мог самостоятельно определить что-это за вирус, я бы вам сюда не писал. Так что давайте, включаем мозги и думаем что это за зверь такой?
Помогите определить вирус (UEFI? Nemesis? Mshta?)
это тоже по вашему я понапридумывал?
Первые ссылки по имени драйвера - spy malware/trojan
Изменено: Сложная Капча - 15.11.2020 06:31:12
Помогите определить вирус (UEFI? Nemesis? Mshta?)
[QUOTE]RP55 RP55 написал:
Файлы чистые - что ещё нужно ?
----
Здесь не Интернет Университет.
-----
Программа при запуске проверяет доступность обновлений = сетевая активность.
Программ изменяет загрузочные сектора на флэшке - может потребоваться повышение прав\привилегий
и т.д.
-----
В общем предлагаю тему закрыть.[/QUOTE]
Вы издеваетесь?
У меня целый ряд проблем и ни по одной из них я не получил ни прояснения ни даже предположений с чем это может быть связано.
1) подмена ссылки при попытке скачки с ресурса
2) обнаружение вирусной активности утилитой uVS и AVZ и даже hijackthis
3) подозрительные отчеты о файловой активности якобы "чистых" файлов и даже детектирование на просто переход по ссылке в анализаторах-песочницах
4) и да, при каждой перезагрузке даже после смены параметров (например отключение автозагрузки с внешних носителей) - настройки возвращаются обратно. По крайней мере этот пункт может говорить о присутствии вирусной активности

И я не говорю уже о том что делаю это все на только что распакованном ноутбуке который никак не мог контактировать с зараженными устройствами или сетями

Прошу вас внимательнее изучить детали предоставленных данных и провести более глубокий анализ самостоятельно (ввиду моей низкой квалификации в области обнаружения)
Изменено: Сложная Капча - 14.11.2020 19:49:24
Помогите определить вирус (UEFI? Nemesis? Mshta?)
[QUOTE]RP55 RP55 написал:
Вы намекаете, что на сайте производителя заражённые файлы
Я вас правильно понял [/QUOTE]
Я просто пытаюсь выяснить причину такого поведения. Я предоставил достаточно много доказательств подозрительной активности и данные отчетов других сервисов меня по большей части очень тревожат. Пожалуйста, если вы можете как-то объяснить такое поведение РАЗНЫХ сайтов, разных программ - не могли бы вы меня успокоить?
Для себя я все еще не смог найти оправдания или какой-либо другой причины такого проявления подозрительной активности, может есть разбирающиеся спецы которые растолкуют данные отчетов и в целом моей проблемы?
Помогите определить вирус (UEFI? Nemesis? Mshta?)
[QUOTE]RP55 RP55 написал:
Или вы выполняете рекомендации - или тема будет закрыта.
Проверяем файлы здесь:  [URL=https://www.virustotal.com/gui/home/upload]https://www.virustotal.com/gui/home/upload[/URL] [/QUOTE]
я выполняю все ваши рекомендации, просто чаще отвечаю в тему. Пожалуйста помогите уже разобраться в вопросе. Я предоставил вам аж ДВА других отчета из других анализаторов которые видят вирус, а вирустотал нет. Вы вообще читали отчеты?

Вот еще один отчет который я сгенерировал уже лично сам а не взял ссылку из COMMUNITY/virustotal


[URL=https://www.joesandbox.com/analysis/534890]https://www.joesandbox.com/analysis/534890


[/URL]Этот отчет свежий, сделан только что, и опять же вирус тотал ничего не нашел в этом же файле, я думаю по той простой причине что это файловый антивирус, и он не создает виртуальную среду для запуска приложения, а лишь проверяет его на сигнатурный анализ.
joesandbox и any.run являются песочницами с полноценной виртуальной средой и ОБЕ песочницы видят активность.
Конкретно за эту информацию может ктонибудь прояснить?
Я не доверяю отчету Virustotal, он буквально устарел в методах обнаружения
Изменено: Сложная Капча - 14.11.2020 19:08:24
Помогите определить вирус (UEFI? Nemesis? Mshta?)
[QUOTE]RP55 RP55 написал:
Сложная Капча

Подозрительный файл сюда:  [URL=https://www.virustotal.com/gui/home/upload]https://www.virustotal.com/gui/home/upload[/URL]
Ссылку на результат в тему.[/QUOTE]
[URL=https://www.virustotal.com/gui/file/f37771fbb9a9747c255bfed791c8d25b170a05390c07b977ceed83fda2930db0/detection]https://www.virustotal.com/gui/file/f37771fbb9a9747c255bfed791c8d25b170a05390c07b977ceed83fda2930db0...[/URL]

Обратите внимание что в разделе COMMUNITY люди скинули ссылку на другой анализатор который в отличии от Virustotal видит подозрительную активность:

[URL=https://www.joesandbox.com/analysis/298812/0/html]https://www.joesandbox.com/analysis/298812/0/html[/URL]
Помогите определить вирус (UEFI? Nemesis? Mshta?)
[QUOTE]Сложная Капча написал:
Ничего не понимаю. Пожалуйста изучите результаты этого запуска:
[URL=https://app.any.run/tasks/f2e23660-8e5c-4eaf-8916-a32c1a29f8c7]https://app.any.run/tasks/f2e23660-8e5c-4eaf-8916-a32c1a29f8c7[/URL]

Проблема в сайте? В приложении?  [/QUOTE]
В догонку к этому отчету так же прилагаю отчет на аналогичную утилиту
Unetbootin:
[URL=https://app.any.run/tasks/d6657e51-3a1a-4c1c-a580-8653bca53a85]https://app.any.run/tasks/d6657e51-3a1a-4c1c-a580-8653bca53a85



[B][I]
[/I][/B][/URL]Первый отчет Rufus:
[URL=https://app.any.run/tasks/f2e23660-8e5c-4eaf-8916-a32c1a29f8c7]https://app.any.run/tasks/f2e23660-8e5c-4eaf-8916-a32c1a29f8c7[/URL]


Аналогичное детектирование с попыткой изменения браузерных расширений. Есть кто расжует причины данных детектов?
Изменено: Сложная Капча - 14.11.2020 18:42:48