[QUOTE]
RP55 RP55 написал:
[QUOTE] Сложная Капча написал:
если бы не восстановившиеся скрытые файлы (СПУСТЯ 3-4часа)[/QUOTE]
Система постоянно работает со скрытыми файлами - они для того и скрыты _от пользователя.
Создаёт новые, удаляет старые - это везде на всех системах Windows
[QUOTE] Сложная Капча написал:
Это были 19 файлов PUP.Gen.1 [/QUOTE]
RogueKiller ...
Типа этого:
[QUOTE][PUP.Gen1 (Potentially Malicious)] (folder) DriverSetupUtility -- C:\ProgramData\DriverSetupUtility -> Found
[PUP.Gen1 (Potentially Malicious)] (folder) DriverSetupUtility -- C:\Program Files\DriverSetupUtility -> Found[/QUOTE]
Вы понимаете, что им найдено ?
Driver Setup Utility — Это _Компонент Acer для автоматического обновления драйверов.
Вы знаете почему на ВСЕХ форумах безопасности работают только с несколькими сканерами и спц утилитами типа: uVS ; FRST
Да потому, что у них практически нет ложных срабатываний и определений и они не пишут всякую ахинею в отчётах\логах.
[QUOTE] Сложная Капча написал:
ESETnod32 internet security - он был обезврежен и не был способен находить вирусные сигнатуры т.к. его библиотеки и модули подверглись изменению. [/QUOTE]
У всех нормальных антивирусов есть режим самозащиты, и _проверки файлов перед их загрузкой\запуском на целостность. Если файл повреждён - антивирус так и напишет - что модуль ХХХ не функционирует.
[QUOTE] Сложная Капча написал:
А вот утилита AVZ [/QUOTE]
Я вам ещё в прошлой теме писал - у вас старая версия.
Разработчик фактически не поддерживает программу ( формально поддерживает ) - с программой работают на ресурсах Касперского и скачивать программу нужно с их сайта.
А не работать с программой от 2016 года.
Что она может найти с базами от 16 - года ?
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37
И подозрительный процесс - это подозрительный процесс и не более того.
Если я в своей системе запущу AVZ программа и у меня ( да и в любой системе ) найдёт 5-10 подозрительных процессов.
Чаще всего это модули защиты.
И отчёт нужно делать по инструкции !
[QUOTE] Сложная Капча написал:
вирус скорее всего находится в разделе UEFI[/QUOTE]
Значит судьба такая.
Здесь даже обновление версии BIOS\UEFI не поможет.
[QUOTE] Сложная Капча написал:
зашел в биос и обнаружил что прошивка которая всегда была 2018 года релиза стала вдруг 2016. [/QUOTE]
Технология Dual BIOS - знакомы с ней ?
Если у вас был сбой электропитания... или иные проблемы с железом...
[QUOTE]Если «основная» копия BIOS была повреждена в произвольный момент, то «резервная» автоматически подменит её при следующей загрузке системы и восстановлении.[/QUOTE]
[/QUOTE]
Хорошо, идем дальше. Вы можете как-то аргументировать внезапное появление (на моем обычном ПК) 5-ти виртуальных интерфейсов-адаптеров сети, на как-бы то ни-было странно 6-ти ядерном процессоре?
Принудительное включение ipv6, при том что настройки адаптера заданы вручную и только для ipv4?
Регулярную долбежку по 53, 5353, 137 порту и т.п., блокировку десятков разных УСТРОЙСТВ (не приложений или доменов) и сотен попыток подключений к ним вашим антивирусом eset модулем защиты сети? Временами невнятные downgrade ssl сертификата на некоторых страницах и переброс на http?
Несколько месяцев назад я боролся в своей сети с подменой dns (отравление dns кэша, dns спуфинг или просто MiTM атака - называйте как хотите), я знаю о чем говорю и уж точно не стал бы поднимать кипишь на пустом месте.
Я уже наслышан о том что современные вирусы приучились использовать виртуализацию системы для сокрытия вредоносных сигнатур и процессов, и черт возьми это виртуализация МОЕЙ системы, в которой они при получении доступа могут делать абсолютно все что угодно.
Лучше подскажите мне как бы я это мог проверить, провести тесты, найти доказательства виртуализации и т.п., чем отговаривайте меня выставляя меня дурачком.
Я на 80% уверен что имеет место быть экспуатации blueborn, все следы указывают именно на нее. Если вы знаете о методиках проверки использования данной уязвимости лучше сообщите как я могу это проверить.
На подобных форумах часто пишут не принимать помощь от незнакомцев. Пока что вы выглядите именно так, пытаясь меня переубедить в отсутсвии проблемы
На текущий момент были предприняты следующие действия для снижения рисков:
отключение виртуализации в bios, отключение работы всех ядер и работа в однопоточном(одноядерном) режиме. Скажите в этот раз лучше чтонибудь полезное, а то мы уже 4 страницы нафлудили.
даже конкретно сейчас на форуме у меня висит предупреждение что соединение не защищено по причине присутствия на странице favicon тянущегося по протоколу http. А так же заблокированную попытку установки аддона с этого сайта.
на это тоже найдете свою отмазку?