Глубокое заражение

[781F]

Приветствую! 

Обнаружил признаки заражения, в результате отформатировал диск полностью с загрузочного cd, но даже сразу после полной переустановки операционная система ведёт себя не так, как должна: некоторые простейшие операции выполняются слишком долго (при том что компьютер достаточно шустрый - HP ProBook 4720s), кроме того, при некоторых операциях возникают ошибки чтения/записи с диска (CHKDSK при этом не выявляет проблем, и, что странно - при проверке незанятого пространства процент завершения не соответствует действительности, а сразу начинается с 10%), а так же системные утилиты периодически крэшатся из-за проблем с доступом, неверного обращения к памяти или без видимых причин.

 

В связи с этим молю о помощи и прошу совета о том, как провести более детальную диагностику, выявить однозначные признаки глубокого заражения и убить зловреда (почему-то подозреваю UEFI-метод заражения, т.к. эта модель ноутбука широко использует UEFI для диагностики и обслуживания компьютера, а производитель предоставляет широкий спектр технологий для удалённого управления системой, а так же для обновления прошивки UEFI).

UPD: прошу прощения, не прикрепил логи, исправляюсь

CollectionLog-2016.07.06-16.48.zip

Изменено 6 июля, 2016 пользователем 781F

[Sandor]

Здравствуйте!

 

Выполните Порядок оформления запроса о помощи и предоставьте логи.

[781F]

Здравствуйте!

 

Выполните Порядок оформления запроса о помощи и предоставьте логи.

Да, простите - вылетело из головы. Исправил.

[Sandor]

По этим логам ничего плохого не видно.

 

Сделайте и прикрепите лог сканирования MBAM.

[781F]

По этим логам ничего плохого не видно.

 

Сделайте и прикрепите лог сканирования MBAM.

В процессе. Сразу скажу, проверка на руткиты и проверка памяти не помогли этой утилите обнаружить какие-либо объекты. Сейчас идёт проверка файловой системы - но чувствую, что это дохлый номер, т.к. на этой неделе несколько раз форматировал диск и переустанавливал ОС с разных дистрибутивов, оставив в итоге оригинальный oem, результат одинаковый: неуместные ошибки и временами отвратительно низкая производительность при том, что загрузка ЦП невелика и свободной памяти достаточно.

 

Может быть, есть достоверный способ снять образ прошивки uefi и проверить его?

Изменено 6 июля, 2016 пользователем 781F

[Sandor]

Если так, то это тема для соседней ветки.

 

Отчет MBAM все же покажите.

[781F]

Ок, надеюсь, что отчёт в итоге всё-таки будет сформирован, хотя сейчас процесс проверки уже как минимум 20 минут стоит на одном-единственном файле (дистрибутив драйвера для хоткеев). 

Кстати, забыл упомянуть ещё одну странную особенность поведения ОС, которая меня изначально и насторожила: при нажатии кнопки "завершение работы", появляется затемнённый экран с надписью "Требуется закрыть программу (1):", а ниже пусто, никаких программ не перечислено.

Короче говоря, процесс идёт очень медленно (хотя когда программа "застревает" на каком либо файле - процессор, опять же, практически не нагружен), и я пожалуй отправлюсь домой, оставив ноутбук включенным на ночь, с утра предоставлю результаты отчёта.

 

Тем временем хочу задать ещё один вопрос - можно ли каким-либо образом обнаружить факт модификации вредоносным ПО прошивки жёсткого диска?