Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Выбрать дату в календареВыбрать дату в календаре

Помогите определить вирус (UEFI? Nemesis? Mshta?)
Цитата
RP55 RP55 написал:
Создание загрузочного USB носителя с помощью программы Rufus:  https://www.comss.ru/page.php?id=2715
пожалуйста посмотрите отчет который был сгенериррован сервисом any.run
ссылку скинул сообщением выше.
Кто-нибудь может объяснить почему многие действия были сдетектированы как вирусные? Начиная от запроса к DNS серверам и заканчивая (???) попыткой изменения системных параметров и даже изменения браузерных расширений (!!!)
Изменено: Сложная Капча - 14.11.2020 18:25:09
Помогите определить вирус (UEFI? Nemesis? Mshta?)
Ничего не понимаю. Пожалуйста изучите результаты этого запуска:
https://app.any.run/tasks/f2e23660-8e5c-4eaf-8916-a32c1a29f8c7

Проблема в сайте? В приложении?  
Помогите определить вирус (UEFI? Nemesis? Mshta?)
Цитата
santy написал:
можете напрямую (без роутера) подключить ваш новый ноут, выйти с него в инет, скачать образ iso, и на нем же сделать загрузочный usb диск
В том то и дело что НОВЫЙ вчера купленный ноутбук так еще и ни разу не был подключен ни к моему домашнему вайфаю, ни к другим устройствам в сети.
Сейчас в данный момент я использую свежекупленный (вчера) 4G модем и больше никак иначе. Однако как вы видите на ноутбуке все же есть какая-то вирусная активность.
Повторюсь что ноутбук НИКАК не контактировал и не связывался НИ С РОУТЕРОМ ни с другими устройствами в моем распоряжении.
Разве что могла быть эксплуатирована уязвимость со стороны зараженных устройств. Предполагаю что могла быть проведена атака ARP связанная с mac адресами, но уверености никакой в этом нет.
Повторюсь что судя по логам установки первым подвергся изменению именно драйвер Bluetooth.
Так же кажутся странными эти события драйвера диска...
Помогите определить вирус (UEFI? Nemesis? Mshta?)
Цитата
RP55 RP55 написал:
Цитата
 Сложная Капча  написал:
купил чистый новый ноутбук, однако проблема наблюдается и на нем
1) Напишите как и в чём это проявляется.
2) По поводу чистой системы - требование относиться к случаю заражения файлов файловым вирусом.
У вас нет файлового заражения.
Все предоставленные логи были созданы на НОВОМ свежем ноутбуке.
На старых устройствах проявляется такая же проблема. Примерно аналогичные похожие логи с такими же проблемами.
Вот например: при попытке загрузить программу записи образов RUFUS при нажатии на ссылку:
Код
https://github.com/pbatard/rufus/releases/download/v3.12/rufus-3.12.exe

Пример2: dev.mysql.com/get/Downloads/Connector-J/mysql-connector-java-5.1.49.zip
Загрузка начинается с:

Код
https://github-production-release-asset-2e65be.s3.amazonaws.com/2810292/f23e6700-0e3a-11eb-89ee-3186bf677d8b?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAIWNJYAX4CSVEH53A%2F20201114%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20201114T125913Z&X-Amz-Expires=300&X-Amz-Signature=439cee824f0ed3d9dbbc3985c315e4821be614ee9df810bbda612fa3ce42e630&X-Amz-SignedHeaders=host&actor_id=0&key_id=0&repo_id=2810292&response-content-disposition=attachment%3B%20filename%3Drufus-3.12.exe&response-content-type=application%2Foctet-stream

Пример2: https://cdn.mysql.com//Downloads/Connector-J/mysql-connector-java-5.1.49.zip

Такая проблема наблюдается со всеми ссылками с GitHub, и с многими популярными программами но все же не со всеми ссылками

Как убедиться в чистоте скачаного файла? Почему загрузка начинается с другой ссылки?

Загрузка вашего Live CD с dropbox опять же стартуется с:

Код
https://uc6675e2385144c5675b2f66e78c.dl.dropboxusercontent.com/zip_download_get/AmkjxilYAxGUd7mbnJHpXMDgviqaqTD-o5qJ92CCSwrZhMu6HDbUTgpiMwoHpWotbKsCL_HHiAMXsRtzY9nI3BCa-XqdzsM7QxdYqY6Fa5inDg?_download_id=871203214673090437750596960116866756352975602409928259574890280037&_notify_domain=www.dropbox.com&dl=1

dropboxusercontent.com - не бьется whois.

Я уже начинаю подозревать у себя паранойю, пожалуйста научите меня проверять полученные файлы правильным методом а не только проверкой на вирустотале. Может быть сверить хэш?

Помогите определить вирус (UEFI? Nemesis? Mshta?)
Цитата
santy написал:
скачать iso образ uVS&winpe можно из любой системы, если с нее есть выход в инет,
а вот загрузочный диск рекомендуем сделать на чистой системе, чтобы вы были уверены, что нет никаких закладок из подозрительной системы на стадии создания загр диска
Это я понимаю, но где взять чистую систему? Все устройства в т.ч. мобильные судя по всему заражены (временами наблюдается подмена DNS, утечка dnsleak).
Сразу добавлю что роутер был пересброшен и выставлены достаточно ограничительные настройки доступа к конфигуратору роутера, однако ситуация сохраняется.
Повторюсь опять же что используя НОВЫЙ чистый только купленный ноутбук - он не был связан ни с какими устройствами а доступ в интернет осуществлялся только со свежекупленного 4g модема.
Так где все же взять чистую систему для записи образа? Как убедиться что флеш карта на которую я собираюсь записывать образ будет не зараженной и не причинит вреда новому устройству? (Допустим под этот случай я тоже куплю новую флешку) Но вопрос с системой и чистым устройством остается открытым
Помогите определить вирус (UEFI? Nemesis? Mshta?)
Цитата
RP55 RP55 написал:
uVS - Live CD
Пожалуйста объясните как безопасно провести эту операцию? В инструкции образ нужно качать с ЧИСТОЙ системы.
Я вчера специально под это дело и купил чистый новый ноутбук, однако проблема наблюдается и на нем, и буквально с первого запуска. Ноут был запечатан и запускался мной впервые
Помогите определить вирус (UEFI? Nemesis? Mshta?)
У меня есть предположения по поводу работы вируса но боюсь они могут быть ошибочными.
Возможно вирус использует виртуализацию системы для сокрытия своих вирусных файлов. Как это проверить, и чем детектировать вирус вобще нет идей. Кажется все вирусные библиотеки подписываются сертификатом виндовса еще при загрузке системы. Из всех антивирусов ни один не смог детектировать присутствие вируса. Были испробованы eset (подозреваю что вирус успел внедриться в библиотеки антивируса для его сокрытия), Kaspersky, drweb.
Есть предположения по поводу внедрения в драйвер диска (использую ssd).
так же напрягает присутствие следующих директорий. Такие записи появляются на всех системах под управлением windows.
Изменено: Сложная Капча - 14.11.2020 15:25:47
Помогите определить вирус (UEFI? Nemesis? Mshta?)
Цитата
RP55 RP55 написал:
Посмотрим лог  Tdsskiller

Скачайте tdsskiller отсюда:
http://support.kaspersky.ru/viruses/disinfection/5350

*Лог в будет в корне диска.
Мой компьютер диск С:\
Например: " TDSSKiller.3.6.4.0_28.11.2020_01.39.05_log.txt "
** Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Лог в тему !
Уже проверял, ничего не найдено
Помогите определить вирус (UEFI? Nemesis? Mshta?)
Привет. Уже два месяца бодаюсь с неким вирусом. Все подозрения падают на заражение прошивки UEFI, при чем такая ситуация наблюдается на ВСЕХ устройствах от Iphone и macbook до ПК под управлением windows, linux или любой другой в том числе LiveCD от антивирусных производителей.
Сегодня у меня переполнилась чаша терпения после чего я приобрел АБСОЛЮТНО новый запечатанный ноутбук.
Единственный способ контакта между устройствами который мог бы произойти это связь по Bluetooth или Wifi.
Повторюсь что новый ПК не был включен в общую сеть вайфай, никогда не имел общих ресурсов ни с какими другими устройствами, и при этом был куплен новый USB модем и весь доступ в интернет в т.ч. сейчас производится только с него. В общем руки уже опускаются, прошу вашей помощи. Сейчас я предоставлю логи с нового пк, но в дальнейшем надеюсь вылечить и остальные, а этот ноутбук лишь тестовая машина которую планировал использовать как безопасный пк на всякий случай. Увы.
Добавлю лишь что на всех устройствах уже проводились полные хардсбросы, переустановки систем и т.д. и т.п.
Предполагаемо вирус передается по Bluetooth, вроде бы первыми были затронуты драйверы этого модуля.


Перед созданием логов система была восстановлена стандартными Windows утилитами восстановления (не точка восстановления а именно сброс всех данных)
Изменено: Сложная Капча - 14.11.2020 07:32:21
Как вылечить? Множественные срабатывания AVZ (mailbomb)
\\?\c:\users\pc\desktop\НОВАЯ ПАПКА\kuyyty;4;Подозрение на RootKit
^^^^^^^^^^^^^^^^^
в этой папке uVS

C:\Users\pc\Downloads\Brackets.Release.1.14.2.msi;1; Trojan.BAT.DelAll.b
C:\Windows\Installer\1aca25.msi;1; Trojan.BAT.DelAll.b
C:\Windows\System32\LogFiles\Scm\SCM.EVM.2;2;Подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1CDA8BC2 1E621768 004D6E44 004D6E44 491520)
C:\Windows\System32\LogFiles\Scm\SCM.EVM.3;2;Подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1CDD316C 1E621768 004D6E44 004D6E44 491520)
C:\Windows\System32\LogFiles\Scm\SCM.EVM.4;2;Подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1CDC5339 1E621768 004D6E44 004D6E44 491520)
C:\Windows\system32\ntshrui.dll;5;Подозрение на Keylogger или троянскую DLL
============

C:\Users\pc\AppData\Local\Programs\WinSCP\Translations\WinSCP.ca;3;PE файл с нестандартным расширением(степень опасности 5%)
C:\Users\pc\AppData\Local\Programs\WinSCP\Translations\WinSCP.ch;3;PE файл с нестандартным расширением(степень опасности 5%)
C:\Users\pc\AppData\Local\Programs\WinSCP\Translations\WinSCP.in;3;PE файл с нестандартным расширением(степень опасности 5%)
C:\Users\pc\AppData\Local\Programs\WinSCP\Translations\WinSCP.ms;3;PE файл с нестандартным расширением(степень опасности 5%)
C:\Users\pc\AppData\Local\Programs\WinSCP\WinSCP.com;3;PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Этих файлов в папке не наблюдаю