ESET CONNECT

[QUOTE]RP55 RP55 написал:
Создание загрузочного USB носителя с помощью программы Rufus:  [URL=https://www.comss.ru/page.php?id=2715]https://www.comss.ru/page.php?id=2715[/URL] [/QUOTE]
пожалуйста посмотрите отчет который был сгенериррован сервисом any.run
ссылку скинул сообщением выше.
Кто-нибудь может объяснить почему многие действия были сдетектированы как вирусные? Начиная от запроса к DNS серверам и заканчивая (???) попыткой изменения системных параметров и даже изменения браузерных расширений (!!!)

Ничего не понимаю. Пожалуйста изучите результаты этого запуска:
[URL=https://app.any.run/tasks/f2e23660-8e5c-4eaf-8916-a32c1a29f8c7]https://app.any.run/tasks/f2e23660-8e5c-4eaf-8916-a32c1a29f8c7[/URL]

Проблема в сайте? В приложении?

[QUOTE]santy написал:
можете напрямую (без роутера) подключить ваш новый ноут, выйти с него в инет, скачать образ iso, и на нем же сделать загрузочный usb диск[/QUOTE]
В том то и дело что НОВЫЙ вчера купленный ноутбук так еще и ни разу не был подключен ни к моему домашнему вайфаю, ни к другим устройствам в сети.
Сейчас в данный момент я использую свежекупленный (вчера) 4G модем и больше никак иначе. Однако как вы видите на ноутбуке все же есть какая-то вирусная активность.
Повторюсь что ноутбук НИКАК не контактировал и не связывался НИ С РОУТЕРОМ ни с другими устройствами в моем распоряжении.
Разве что могла быть эксплуатирована уязвимость со стороны зараженных устройств. Предполагаю что могла быть проведена атака ARP связанная с mac адресами, но уверености никакой в этом нет.
Повторюсь что судя по логам установки первым подвергся изменению именно драйвер Bluetooth.
Так же кажутся странными эти события драйвера диска...

[QUOTE]RP55 RP55 написал:
[QUOTE] Сложная Капча написал:
купил чистый новый ноутбук, однако проблема наблюдается и на нем[/QUOTE]
1) Напишите как и в чём это проявляется.
2) По поводу чистой системы - требование относиться к случаю заражения файлов файловым вирусом.
У вас нет файлового заражения.[/QUOTE]
Все предоставленные логи были созданы на НОВОМ свежем ноутбуке.
На старых устройствах проявляется такая же проблема. Примерно аналогичные похожие логи с такими же проблемами.
Вот например: при попытке загрузить программу записи образов RUFUS при нажатии на ссылку:[CODE]https://github.com/pbatard/rufus/releases/download/v3.12/rufus-3.12.exe

Пример2: dev.mysql.com/get/Downloads/Connector-J/mysql-connector-java-5.1.49.zip
[/CODE]Загрузка начинается с:

[CODE]https://github-production-release-asset-2e65be.s3.amazonaws.com/2810292/f23e6700-0e3a-11eb-89ee-3186bf677d8b?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAIWNJYAX4CSVEH53A%2F20201114%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20201114T125913Z&X-Amz-Expires=300&X-Amz-Signature=439cee824f0ed3d9dbbc3985c315e4821be614ee9df810bbda612fa3ce42e630&X-Amz-SignedHeaders=host&actor_id=0&key_id=0&repo_id=2810292&response-content-disposition=attachment%3B%20filename%3Drufus-3.12.exe&response-content-type=application%2Foctet-stream

Пример2: https://cdn.mysql.com//Downloads/Connector-J/mysql-connector-java-5.1.49.zip[/CODE]

Такая проблема наблюдается со всеми ссылками с GitHub, и с многими популярными программами но все же не со всеми ссылками

Как убедиться в чистоте скачаного файла? Почему загрузка начинается с другой ссылки?

Загрузка вашего Live CD с dropbox опять же стартуется с:

[CODE]https://uc6675e2385144c5675b2f66e78c.dl.dropboxusercontent.com/zip_download_get/AmkjxilYAxGUd7mbnJHpXMDgviqaqTD-o5qJ92CCSwrZhMu6HDbUTgpiMwoHpWotbKsCL_HHiAMXsRtzY9nI3BCa-XqdzsM7QxdYqY6Fa5inDg?_download_id=871203214673090437750596960116866756352975602409928259574890280037&_notify_domain=www.dropbox.com&dl=1[/CODE]

dropboxusercontent.com - не бьется whois.

Я уже начинаю подозревать у себя паранойю, пожалуйста научите меня проверять полученные файлы правильным методом а не только проверкой на вирустотале. Может быть сверить хэш?

[QUOTE]santy написал:
скачать iso образ uVS&winpe можно из любой системы, если с нее есть выход в инет,
а вот загрузочный диск рекомендуем сделать на чистой системе, чтобы вы были уверены, что нет никаких закладок из подозрительной системы на стадии создания загр диска[/QUOTE]
Это я понимаю, но где взять чистую систему? Все устройства в т.ч. мобильные судя по всему заражены (временами наблюдается подмена DNS, утечка dnsleak).
Сразу добавлю что роутер был пересброшен и выставлены достаточно ограничительные настройки доступа к конфигуратору роутера, однако ситуация сохраняется.
Повторюсь опять же что используя НОВЫЙ чистый только купленный ноутбук - он не был связан ни с какими устройствами а доступ в интернет осуществлялся только со свежекупленного 4g модема.
Так где все же взять чистую систему для записи образа? Как убедиться что флеш карта на которую я собираюсь записывать образ будет не зараженной и не причинит вреда новому устройству? (Допустим под этот случай я тоже куплю новую флешку) Но вопрос с системой и чистым устройством остается открытым

[QUOTE]RP55 RP55 написал:
uVS - Live CD[/QUOTE]
Пожалуйста объясните как безопасно провести эту операцию? В инструкции образ нужно качать с ЧИСТОЙ системы.
Я вчера специально под это дело и купил чистый новый ноутбук, однако проблема наблюдается и на нем, и буквально с первого запуска. Ноут был запечатан и запускался мной впервые

У меня есть предположения по поводу работы вируса но боюсь они могут быть ошибочными.
Возможно вирус использует виртуализацию системы для сокрытия своих вирусных файлов. Как это проверить, и чем детектировать вирус вобще нет идей. Кажется все вирусные библиотеки подписываются сертификатом виндовса еще при загрузке системы. Из всех антивирусов ни один не смог детектировать присутствие вируса. Были испробованы eset (подозреваю что вирус успел внедриться в библиотеки антивируса для его сокрытия), Kaspersky, drweb.
Есть предположения по поводу внедрения в драйвер диска (использую ssd).
так же напрягает присутствие следующих директорий. Такие записи появляются на всех системах под управлением windows.

[QUOTE]RP55 RP55 написал:
Посмотрим лог  Tdsskiller

Скачайте tdsskiller отсюда:
[URL=http://support.kaspersky.ru/viruses/disinfection/5350]http://support.kaspersky.ru/viruses/disinfection/5350[/URL]

*Лог в будет в корне диска.
Мой компьютер диск С:\
Например: " TDSSKiller.3.6.4.0_28.11.2020_01.39.05_log.txt "
** Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Лог в тему ![/QUOTE]
Уже проверял, ничего не найдено

Привет. Уже два месяца бодаюсь с неким вирусом. Все подозрения падают на заражение прошивки UEFI, при чем такая ситуация наблюдается на ВСЕХ устройствах от Iphone и macbook до ПК под управлением windows, linux или любой другой в том числе LiveCD от антивирусных производителей.
Сегодня у меня переполнилась чаша терпения после чего я приобрел АБСОЛЮТНО новый запечатанный ноутбук.
Единственный способ контакта между устройствами который мог бы произойти это связь по Bluetooth или Wifi.
Повторюсь что новый ПК не был включен в общую сеть вайфай, никогда не имел общих ресурсов ни с какими другими устройствами, и при этом был куплен новый USB модем и весь доступ в интернет в т.ч. сейчас производится только с него. В общем руки уже опускаются, прошу вашей помощи. Сейчас я предоставлю логи с нового пк, но в дальнейшем надеюсь вылечить и остальные, а этот ноутбук лишь тестовая машина которую планировал использовать как безопасный пк на всякий случай. Увы.
Добавлю лишь что на всех устройствах уже проводились полные хардсбросы, переустановки систем и т.д. и т.п.
Предполагаемо вирус передается по Bluetooth, вроде бы первыми были затронуты драйверы этого модуля.


Перед созданием логов система была восстановлена стандартными Windows утилитами восстановления (не точка восстановления а именно сброс всех данных)

\\?\c:\users\pc\desktop\НОВАЯ ПАПКА\kuyyty;4;Подозрение на RootKit
^^^^^^^^^^^^^^^^^
в этой папке uVS

C:\Users\pc\Downloads\Brackets.Release.1.14.2.msi;1; Trojan.BAT.DelAll.b
C:\Windows\Installer\1aca25.msi;1; Trojan.BAT.DelAll.b
C:\Windows\System32\LogFiles\Scm\SCM.EVM.2;2;Подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1CDA8BC2 1E621768 004D6E44 004D6E44 491520)
C:\Windows\System32\LogFiles\Scm\SCM.EVM.3;2;Подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1CDD316C 1E621768 004D6E44 004D6E44 491520)
C:\Windows\System32\LogFiles\Scm\SCM.EVM.4;2;Подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1CDC5339 1E621768 004D6E44 004D6E44 491520)
C:\Windows\system32\ntshrui.dll;5;Подозрение на Keylogger или троянскую DLL
============

C:\Users\pc\AppData\Local\Programs\WinSCP\Translations\WinSCP.ca;3;PE файл с нестандартным расширением(степень опасности 5%)
C:\Users\pc\AppData\Local\Programs\WinSCP\Translations\WinSCP.ch;3;PE файл с нестандартным расширением(степень опасности 5%)
C:\Users\pc\AppData\Local\Programs\WinSCP\Translations\WinSCP.in;3;PE файл с нестандартным расширением(степень опасности 5%)
C:\Users\pc\AppData\Local\Programs\WinSCP\Translations\WinSCP.ms;3;PE файл с нестандартным расширением(степень опасности 5%)
C:\Users\pc\AppData\Local\Programs\WinSCP\WinSCP.com;3;PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Этих файлов в папке не наблюдаю