Перейти к содержанию
Правила раздела

Nemesis? Lojax? UEFI вирус, помогите определить

Дмитрий21

От Дмитрий21
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Дмитрий21 Новичок

Дмитрий21

Опубликовано
Опубликовано

Пытаюсь получить помощь так же и на других форумах. У сожалению на eset32 ко мне отнеслись не серьезно. Вопрос серьезный, вирус ничем не детектируется, и достаточно подробную информацию вы можете получить прочитав тему на ESETNOD:

https://forum.esetnod32.ru/forum6/topic16189/?PAGEN_1=3

 

В эту тему прикладываю только отчеты, т.к. сложно собрать такой объем информации в одном сообщении. Пробежавшись по первой странице вся суть будет ясна.

Очень прошу вашей помощи, я сношаюсь с этим вирусом уже скоро будет как пол года. Пожалуйста помогите остановить эту войну, т.к. вирус проявляет себя на мобильных устройствах в том числе. И под всеми видами операционных систем.

Роутер был неоднократно сброшен, вирусы на нем обнаружены не были. (Возможно неправильно или плохо искал, в поддержке заверили что в флешпамять роутера запись невозможна)

Не вижу как приложить файлы поэтому ссылкой на скажу из темы eset:

https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=117964&action=download

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

1) Тут нужны свои логи Порядок оформления запроса о помощи

2) Почитал начала темы там... правильно, что подозреваете у себе паронойю. Собственно собирать логи на мой взгляд вам смысла нет, если хотите обсудить, то что на ваш взгляд кажется проблемами, то лучше перенести тему в другой раздел и обсудить там.

3) Скачанные файлы, да лучше проверять не на вирустотал, а намного надёжней проверять по хешу. Часто разработчики указывают хеши на странице скачивания. Например хеш для Автологера вы сможете посмотреть по этой ссылке.

4) То что при скачивание происходит редирект на большистве сайтов и начинает качать по другой ссылке, а не то что вы видели изначально это нормально и связано с тех. нюансами работы сайта, а не с вирусами. Поэтому и воспроизводится на любом устройстве, а не только у вас ?

Ссылка на комментарий
Поделиться на другие сайты
Дмитрий21 Новичок

Дмитрий21

Опубликовано
  • Автор
Опубликовано
55 минут назад, regist сказал:

1) Тут нужны свои логи Порядок оформления запроса о помощи

2) Почитал начала темы там... правильно, что подозреваете у себе паронойю. Собственно собирать логи на мой взгляд вам смысла нет, если хотите обсудить, то что на ваш взгляд кажется проблемами, то лучше перенести тему в другой раздел и обсудить там.

3) Скачанные файлы, да лучше проверять не на вирустотал, а намного надёжней проверять по хешу. Часто разработчики указывают хеши на странице скачивания. Например хеш для Автологера вы сможете посмотреть по этой содит редирект на большистве сайтов и начинает качать по другой ссылке, а не то что вы видели изначально это нормально и связано с тех. нюансами работы сайта, а не с вирусами. Поэтому и воспроизводится на любом устрсылке.

4) То что при скачивание происходит редирект на большистве сайтов и начинает качать по другой ссылке, а не то что вы видели изначально это нормально и связано с тех. нюансами работы сайта, а не с вирусами. Поэтому и воспроизводится на любом устройстве, а не только у вас ?

 

 

Пожалуйста прочтите 3ю страницу темы на eset. если бы это была просто паранойя я бы не стал писать на других форумах.

В момент скачивания файла ядро системы начинает загрузку с другой ссылки. И если посмотреть в файле в вкладке подробно то там первичные названия можно встретить и setup.sfx.exe, и bootstraped.exe, а при завершении скачивания файл выглядит как нужно, правильный вес, подпись, имя файла.

к сожалению не все разработчики выкладывают хэши, с этим и возникла трудность проверки некоторых файлов.

ладно, может с rufus я немного перегнул, но что на счет второго примера?

mysql.com имеет сертификат распространяющийся на dev.mysql.com, но не на cdn.mysql.com, откуда начинается закачка:

 

 

Цитата

Orig:

dev.mysql.com/get/Downloads/Connector-J/mysql-connector-java-5.1.49.zip

 

Fake?:

cdn.mysql.com//Downloads/Connector-J/mysql-connector-java-5.1.49.zip

 

обратите внимание - кажется ссылка выглядит немного криво для такого домена.

 

я сразу добавлю что имел место быть инцидент когда я однажды зашел в биос и обнаружил что прошивка которая всегда была 2018 года релиза стала вдруг 2016. конечно я ее заменил, но видимо было уже поздно. Я не шучу и не паранойю, это вирус разряда UEFI/BIOS. И исполнятся он именно в ядре. Многие виндовсовские библиотеки а так же процессы показывают аномальную активность/поведение при детальном рассмотрении утилитой AVZ (просмотр библиотек, расширений ядра, внедренных потоков)

 

Это можно наглядно увидеть в отчете AVZ - avz_services.htm

Многие библиотеки имеют странные окончания типа _92155 и при этом являются дубликатом оригинальной библиотеки с таким названием

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
22 часа назад, regist сказал:

Тут нужны свои логи Порядок оформления запроса о помощи

Если правильных логов не будет, тему перенесем в "Беседку".

Ссылка на комментарий
Поделиться на другие сайты
Дмитрий21 Новичок

Дмитрий21

Опубликовано
  • Автор
Опубликовано

пожалуйста прочтите тему с Eset - 4ю страницу, дополнил туда свои предположения. Еще хочу добавить - я использую дома кнопочный двухсимочный телефон (с Bluetooth и возможностью создавать точки доступа) - Aceline Fl1. Он использовался для доставки оповещений в виде звонков на другие мои телефоны. Сейчас я полазал в нем и обнаружил что настройки зашиты паролем, на телефона вроде бы как появились расширенные возможности по BT подключениям и собственно возможность организовать точку. телефон я этот покупал сам и никакие настройки не блокировал. Могла ли иметь место атака blueborne? Подробнее об этом в теме ESET (+виртуализация системы, непонятные вирт. адаптеры, подключение IPv6 и т.п.) 

Я кидаю вам лог с ноутбука который приобрел позавчера т.к. в бесконечных попытках победить вирус на основном пк система была уничтожена, диски уже по 2 раза форматировались в GPT и т.д., и т.п....

Вот только на том форуме клоун какой-то сидит отвечает :[ время только мое тратит

 

CollectionLog-2020.11.16-18.10.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

App Explorer и браузер Brave относятся к нежелательному ПО. Деинсталлируйте их.

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Zakhar62668
      Помогите удалить вирус
      От Zakhar62668
      Виндоус дефендер находит постоянно трояны, но удалить не может, также пытался установить разные антивирусы, но все они не запускаются, вылетают ошибки, а также в исключениях есть файлы, которые не удаляются. Сейчас, посмотрев форум, запустил компьютер в безопасном режиме и через флешку установил фарбар рекавери скан тулс(чтоб запустить его пришлось удалить ограничения в редакторе реестра)
    • Эльнар
      Помогите пожалуйста удалить вирус
      От Эльнар
      Здравствуйте! Помогите пожалуйста удалить вирус, скорее всего майнер. Он постоянно нагружает процессор, даже на рабочем столе. Как только открываю диспетчер задач, обороты вентиляторов процессора падают до нормального. Как только выхожу из диспетчера задач сразу обороты вентиляторов растут. При открытии диспетчера задач я не успеваю увидеть какой процесс нагружает компьютер. Эта проблема началась когда я установил программу видеомонтажа Magix Vegas Pro не с официального сайта. Так же из проблем не получается зайти в конфигурацию системы (msconfig), окошко сразу закрывается. При запуске антивируса Malwarebytes, он тоже сразу закрывается. Когда зашёл в систему через безопасную загрузку msconfig также не открывается, но удалось запустить malwarebytes и drweb, они нашли вирусы, но проблема не ушла. Запустил Kaspersky Removal Tool, он долго сканировал и нашёл вирусы. Один из них располагался в папке куда был установлен Magix Vegas Pro. После удаления вирусов ситуация к сожалению не изменилась. Приложил отчёт сборщика логов.
      CollectionLog-2024.12.02-15.07.zip
    • plotikkaroch
      Помогите удалить вирус NET:MALWARE.UR
      От plotikkaroch
      Помогите удалить вирус NET:MALWARE.UR.
      Объект: dialer.exe.
      Угроза: NET:MALWARE.URL
      Путь:\Net\3816\TCP\5/188/137/200-8888\Device\HarddiskVolume3\Windows\System32\dialer.exe
               \Net\2508\TCP\5/188/137/200-8888\Device\HarddiskVolume3\Windows\System32\dialer.exe
      Не знаю, что для этого нужно делать и прикреплять. Поэтому прикрепил, что увидел в других похожих темах на этот счет.
      Виндовс не очень хочется переустанавливать из-за этого.
      Curelt его не обезвреживает, при повторном сканировании также появляются в списке. 
      Логи cureit, SysInfo, FRST, Addition: https://dropmefiles.com/AiGRB
    • Milkuf
      [РЕШЕНО] Помогите дочистить систему от вирусов
      От Milkuf
      Помогите дочистить систему от вирусов.
      https://forum.kasperskyclub.ru/topic/465233-zakryvaetsja-programma-ustanovki-kaspersky-free/-здесь мне посоветовали создать тут тему, чтобы полностью очистить систему от вирусов.
       
      CollectionLog-2024.12.10-08.48.zip
    • Alex161
      Помогите с трояном
      От Alex161
      Что ж, скачал игру, поймал постоянную работу вентилятора и нагрузку, удалял, лечил, что только не делал все бестолку, после перезагрузки снова появляется...мучаюсь вторые сутки, умоляю, помогите
      avz_log.txt
×
×
  • Создать...