santy, хочу услышать ваше мнение тоже.
Может быть вы со стороны своего более квалифицированного взгляда можете дать мне советы по детектированию и поиску? Проверку виртуализации может провести как-то можно? Или поиск дропера в условиях ограниченного исполнения и логирования можно произвести?
а то когда я попросил прямого совета у этого товарища по проведению тестов - у него внезапно муза в одном месте заиграла, и убежал в неизвестность избегая ответа.

Еще хочу добавить - я использую дома кнопочный двухсимочный телефон (с Bluetooth и возможностью создавать точки доступа) - Aceline Fl1. Он использовался для доставки оповещений в виде звонков на другие мои телефоны. Сейчас я полазал в нем и обнаружил что настройки зашиты паролем, на телефона вроде бы как появились расширенные возможности по BT подключениям и собственно возможность организовать точку. телефон я этот покупал сам и никакие настройки не блокировал. Могла ли иметь место атака blueborne? Подробнее об этом в теме (+виртуализация системы, непонятные вирт. адаптеры, подключение IPv6 и т.п.) я писал выше

Я кидаю вам логи с ноутбука который приобрел позавчера т.к. в бесконечных попытках победить вирус на основном пк система была уничтожена,диски уже по 2 раза форматировались в GPT и т.д., и т.п...., т.е. провести тесты на контрольной заражённой машине уже не могу, пока не накачу ОС по новой. Но что и где мне в первую очередь искать, чтобы поймать улики на чистой системе?

Хорошо, идем дальше. Вы можете как-то аргументировать внезапное появление (на моем обычном ПК) 5-ти виртуальных интерфейсов-адаптеров сети, на как-бы то ни-было странно 6-ти ядерном процессоре?
Принудительное включение ipv6, при том что настройки адаптера заданы вручную и только для ipv4?
Регулярную долбежку по 53, 5353, 137 порту и т.п., блокировку десятков разных УСТРОЙСТВ (не приложений или доменов) и сотен попыток подключений к ним вашим антивирусом eset модулем защиты сети? Временами невнятные downgrade ssl сертификата на некоторых страницах и переброс на http?

Несколько месяцев назад я боролся в своей сети с подменой dns (отравление dns кэша, dns спуфинг или просто MiTM атака - называйте как хотите), я знаю о чем говорю и уж точно не стал бы поднимать кипишь на пустом месте.


Я уже наслышан о том что современные вирусы приучились использовать виртуализацию системы для сокрытия вредоносных сигнатур и процессов, и черт возьми это виртуализация МОЕЙ системы, в которой они при получении доступа могут делать абсолютно все что угодно.



Лучше подскажите мне как бы я это мог проверить, провести тесты, найти доказательства виртуализации и т.п., чем отговаривайте меня выставляя меня дурачком.



Я на 80% уверен что имеет место быть экспуатации blueborn, все следы указывают именно на нее. Если вы знаете о методиках проверки использования данной уязвимости лучше сообщите как я могу это проверить.



На подобных форумах часто пишут не принимать помощь от незнакомцев. Пока что вы выглядите именно так, пытаясь меня переубедить в отсутсвии проблемы


На текущий момент были предприняты следующие действия для снижения рисков:
отключение виртуализации в bios, отключение работы всех ядер и работа в однопоточном(одноядерном) режиме. Скажите в этот раз лучше чтонибудь полезное, а то мы уже 4 страницы нафлудили.


даже конкретно сейчас на форуме у меня висит предупреждение что соединение не защищено по причине присутствия на странице favicon тянущегося по протоколу http. А так же заблокированную попытку установки аддона с этого сайта.

на это тоже найдете свою отмазку?

я сразу добавлю что имел место быть инцидент когда я однажды зашел в  биос и обнаружил что прошивка которая всегда была 2018 года релиза стала  вдруг 2016. конечно я ее заменил, но видимо было уже поздно. Я не шучу и  не паранойю, это вирус разряда UEFI/BIOS. И исполнятся он именно в  ядре. Многие виндовсовские библиотеки а так же процессы показывают  аномальную активность/поведение при детальном рассмотрении утилитой AVZ  (просмотр библиотек, расширений ядра, внедренных потоков)


это можно наглядно увидеть в отчете AVZ - avz_services.htm  

Многие библиотеки имеют странные окончания типа _92155 и при этом являются дубликатом оригинальной библиотеки с таким названием

знаете, на какое-то время вы меня даже переубедили. Я поверил в собственную паранойю. Думаю - не будут же мне ГЛУПЫХ советов давать специалисты профильные.  Я отложил в сторону ноутбук и принялся за восстановление основного ПК.  
И может быть я бы и согласился с вами, что файлы чисты, что это все мои глубокие заблужения - если бы не восстановившиеся скрытые файлы (СПУСТЯ 3-4часа) из раздела Recovery при чем без какой либо перезагрузки.  
Поискав на других рессурсах я все же нашел утилиту способную детектировать вирусы. Это были 19 файлов PUP.Gen.1  

Давайте теперь начнем еще раз, сначала. И не надо пожалуйста меня дураком выставлять. Вы сами то хоть достаточно квалифицированны что-бы таким поучительным тоном рассказывать мне о банальных вещах?

Я прикладываю отчеты RogueKiller. Бувально в МОМЕНТ, думаю даже еще при установке вашего антивирусника ESETnod32 internet security - он был обезврежен и не был способен находить вирусные сигнатуры т.к. его библиотеки и модули подверглись изменению.
и НАДО ЖЕ(!) несмотря на вмешательство в файлы антивируса а так же и во многие другие, подписанные WINDOWS, подписи остались целыми и никаких срабатываний и обнаружений в помине не было.
А вот утилита AVZ благодаря возможности прямого чтения с диска все же умеет определять недоверительные файлы и соответственно их помечает.

И так, если вы еще не поняли то я не шутки тут шучу. И как я изначально и сообщил вам - вирус скорее всего находится в разделе UEFI и исполняется на уровне ядра, оставаясь недосягаемым для обычных антивирусов.
Сообщите какая информация вам нужна для определения проблемы. И обратите внимание пожалуйста на "ПОДМЕНУ" а не редирект ссылки, 2020 год весьма плодовит на нахождение новых уязвимостей, и кто знает что мы встретим завтра?
Если вы явяетесь компетентным лицом для связи с разработчиками советую вам обратить их внимание на мой случай. Я не говорю что он уникальный и возможно вирус уже опознан ведущими компаниями, однако ваши советы по детектированию вируса ни к чему не привели.
Давайте попробуем еще раз найти причину и в случае возникновения трудностей прошу скоординировать меня - куда и к кому мне стоит обратиться дальше, если здесь вы мне ничем помочь не можете?

Надеюсь на этот раз вы уделите достаточно времени для изучения отчетов и конкретно тех моментов на которые я вам указал. Я не какой-то нуб который выкидывает предположения с потолка. За попытками вылечить вирус прошло уже порядка 3-4 месяцев, и постепенно я отсеивал самые популярные связки и возможные известные варианты.
Если бы я мог самостоятельно определить что-это за вирус, я бы вам сюда не писал. Так что давайте, включаем мозги и думаем что это за зверь такой?

это тоже по вашему я понапридумывал?
Первые ссылки по имени драйвера - spy malware/trojan

Вы издеваетесь?
У меня целый ряд проблем и ни по одной из них я не получил ни прояснения ни даже предположений с чем это может быть связано.
1) подмена ссылки при попытке скачки с ресурса
2) обнаружение вирусной активности утилитой uVS и AVZ и даже hijackthis
3) подозрительные отчеты о файловой активности якобы "чистых" файлов и даже детектирование на просто переход по ссылке в анализаторах-песочницах
4) и да, при каждой перезагрузке даже после смены параметров (например отключение автозагрузки с внешних носителей) - настройки возвращаются обратно. По крайней мере этот пункт может говорить о присутствии вирусной активности

И я не говорю уже о том что делаю это все на только что распакованном ноутбуке который никак не мог контактировать с зараженными устройствами или сетями

Прошу вас внимательнее изучить детали предоставленных данных и провести более глубокий анализ самостоятельно (ввиду моей низкой квалификации в области обнаружения)

Я просто пытаюсь выяснить причину такого поведения. Я предоставил достаточно много доказательств подозрительной активности и данные отчетов других сервисов меня по большей части очень тревожат. Пожалуйста, если вы можете как-то объяснить такое поведение РАЗНЫХ сайтов, разных программ - не могли бы вы меня успокоить?
Для себя я все еще не смог найти оправдания или какой-либо другой причины такого проявления подозрительной активности, может есть разбирающиеся спецы которые растолкуют данные отчетов и в целом моей проблемы?  

я выполняю все ваши рекомендации, просто чаще отвечаю в тему. Пожалуйста помогите уже разобраться в вопросе. Я предоставил вам аж ДВА других отчета из других анализаторов которые видят вирус, а вирустотал нет. Вы вообще читали отчеты?

Вот еще один отчет который я сгенерировал уже лично сам а не взял ссылку из COMMUNITY/virustotal


https://www.joesandbox.com/analysis/534890Этот отчет свежий, сделан только что, и опять же вирус тотал ничего не нашел в этом же файле, я думаю по той простой причине что это файловый антивирус, и он не создает виртуальную среду для запуска приложения, а лишь проверяет его на сигнатурный анализ.
joesandbox и any.run являются песочницами с полноценной виртуальной средой и ОБЕ песочницы видят активность.
Конкретно за эту информацию может ктонибудь прояснить?
Я не доверяю отчету Virustotal, он буквально устарел в методах обнаружения

https://www.virustotal.com/gui/file/f37771fbb9a9747c255bfed791c8d25b170a05390c07b97­7ceed83fda2930db0...

Обратите внимание что в разделе COMMUNITY люди скинули ссылку на другой анализатор который в отличии от Virustotal видит подозрительную активность:

https://www.joesandbox.com/analysis/298812/0/html

В догонку к этому отчету так же прилагаю отчет на аналогичную утилиту
Unetbootin:
https://app.any.run/tasks/d6657e51-3a1a-4c1c-a580-8653bca53a85




Первый отчет Rufus:
https://app.any.run/tasks/f2e23660-8e5c-4eaf-8916-a32c1a29f8c7


Аналогичное детектирование с попыткой изменения браузерных расширений. Есть кто расжует причины данных детектов?