Перейти к содержанию
Правила раздела

Nemesis? Lojax? UEFI вирус, помогите определить

Дмитрий21

Автор Дмитрий21
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Дмитрий21 Новичок

Дмитрий21

Опубликовано
Опубликовано

Пытаюсь получить помощь так же и на других форумах. У сожалению на eset32 ко мне отнеслись не серьезно. Вопрос серьезный, вирус ничем не детектируется, и достаточно подробную информацию вы можете получить прочитав тему на ESETNOD:

https://forum.esetnod32.ru/forum6/topic16189/?PAGEN_1=3

 

В эту тему прикладываю только отчеты, т.к. сложно собрать такой объем информации в одном сообщении. Пробежавшись по первой странице вся суть будет ясна.

Очень прошу вашей помощи, я сношаюсь с этим вирусом уже скоро будет как пол года. Пожалуйста помогите остановить эту войну, т.к. вирус проявляет себя на мобильных устройствах в том числе. И под всеми видами операционных систем.

Роутер был неоднократно сброшен, вирусы на нем обнаружены не были. (Возможно неправильно или плохо искал, в поддержке заверили что в флешпамять роутера запись невозможна)

Не вижу как приложить файлы поэтому ссылкой на скажу из темы eset:

https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=117964&action=download

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

1) Тут нужны свои логи Порядок оформления запроса о помощи

2) Почитал начала темы там... правильно, что подозреваете у себе паронойю. Собственно собирать логи на мой взгляд вам смысла нет, если хотите обсудить, то что на ваш взгляд кажется проблемами, то лучше перенести тему в другой раздел и обсудить там.

3) Скачанные файлы, да лучше проверять не на вирустотал, а намного надёжней проверять по хешу. Часто разработчики указывают хеши на странице скачивания. Например хеш для Автологера вы сможете посмотреть по этой ссылке.

4) То что при скачивание происходит редирект на большистве сайтов и начинает качать по другой ссылке, а не то что вы видели изначально это нормально и связано с тех. нюансами работы сайта, а не с вирусами. Поэтому и воспроизводится на любом устройстве, а не только у вас ?

Ссылка на комментарий
Поделиться на другие сайты
Дмитрий21 Новичок

Дмитрий21

Опубликовано
  • Автор
Опубликовано
55 минут назад, regist сказал:

1) Тут нужны свои логи Порядок оформления запроса о помощи

2) Почитал начала темы там... правильно, что подозреваете у себе паронойю. Собственно собирать логи на мой взгляд вам смысла нет, если хотите обсудить, то что на ваш взгляд кажется проблемами, то лучше перенести тему в другой раздел и обсудить там.

3) Скачанные файлы, да лучше проверять не на вирустотал, а намного надёжней проверять по хешу. Часто разработчики указывают хеши на странице скачивания. Например хеш для Автологера вы сможете посмотреть по этой содит редирект на большистве сайтов и начинает качать по другой ссылке, а не то что вы видели изначально это нормально и связано с тех. нюансами работы сайта, а не с вирусами. Поэтому и воспроизводится на любом устрсылке.

4) То что при скачивание происходит редирект на большистве сайтов и начинает качать по другой ссылке, а не то что вы видели изначально это нормально и связано с тех. нюансами работы сайта, а не с вирусами. Поэтому и воспроизводится на любом устройстве, а не только у вас ?

 

 

Пожалуйста прочтите 3ю страницу темы на eset. если бы это была просто паранойя я бы не стал писать на других форумах.

В момент скачивания файла ядро системы начинает загрузку с другой ссылки. И если посмотреть в файле в вкладке подробно то там первичные названия можно встретить и setup.sfx.exe, и bootstraped.exe, а при завершении скачивания файл выглядит как нужно, правильный вес, подпись, имя файла.

к сожалению не все разработчики выкладывают хэши, с этим и возникла трудность проверки некоторых файлов.

ладно, может с rufus я немного перегнул, но что на счет второго примера?

mysql.com имеет сертификат распространяющийся на dev.mysql.com, но не на cdn.mysql.com, откуда начинается закачка:

 

 

Цитата

Orig:

dev.mysql.com/get/Downloads/Connector-J/mysql-connector-java-5.1.49.zip

 

Fake?:

cdn.mysql.com//Downloads/Connector-J/mysql-connector-java-5.1.49.zip

 

обратите внимание - кажется ссылка выглядит немного криво для такого домена.

 

я сразу добавлю что имел место быть инцидент когда я однажды зашел в биос и обнаружил что прошивка которая всегда была 2018 года релиза стала вдруг 2016. конечно я ее заменил, но видимо было уже поздно. Я не шучу и не паранойю, это вирус разряда UEFI/BIOS. И исполнятся он именно в ядре. Многие виндовсовские библиотеки а так же процессы показывают аномальную активность/поведение при детальном рассмотрении утилитой AVZ (просмотр библиотек, расширений ядра, внедренных потоков)

 

Это можно наглядно увидеть в отчете AVZ - avz_services.htm

Многие библиотеки имеют странные окончания типа _92155 и при этом являются дубликатом оригинальной библиотеки с таким названием

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
22 часа назад, regist сказал:

Тут нужны свои логи Порядок оформления запроса о помощи

Если правильных логов не будет, тему перенесем в "Беседку".

Ссылка на комментарий
Поделиться на другие сайты
Дмитрий21 Новичок

Дмитрий21

Опубликовано
  • Автор
Опубликовано

пожалуйста прочтите тему с Eset - 4ю страницу, дополнил туда свои предположения. Еще хочу добавить - я использую дома кнопочный двухсимочный телефон (с Bluetooth и возможностью создавать точки доступа) - Aceline Fl1. Он использовался для доставки оповещений в виде звонков на другие мои телефоны. Сейчас я полазал в нем и обнаружил что настройки зашиты паролем, на телефона вроде бы как появились расширенные возможности по BT подключениям и собственно возможность организовать точку. телефон я этот покупал сам и никакие настройки не блокировал. Могла ли иметь место атака blueborne? Подробнее об этом в теме ESET (+виртуализация системы, непонятные вирт. адаптеры, подключение IPv6 и т.п.) 

Я кидаю вам лог с ноутбука который приобрел позавчера т.к. в бесконечных попытках победить вирус на основном пк система была уничтожена, диски уже по 2 раза форматировались в GPT и т.д., и т.п....

Вот только на том форуме клоун какой-то сидит отвечает :[ время только мое тратит

 

CollectionLog-2020.11.16-18.10.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

App Explorer и браузер Brave относятся к нежелательному ПО. Деинсталлируйте их.

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexander6624
      помогите пожалуйста удалить вирус.
      Автор alexander6624
      при проверке вирусов на dr web нашёлся вирус net malware url, dr web его обезвредить не смог,а при следующей проверке вируса не было найдено,но на следующий день при повторной проверке этот вирус опять обнаружился,при этом начал очень сильно грется процессор и начались сильные глюки.

    • ggruzin
      [РЕШЕНО] Помогите удалить вирус - автокликер
      Автор ggruzin
      Здравствуйте, помогите удалить вирус авто кликcollectionLog.rarер. Не находится анти вирусами kaspersky free, malwarebytes , лечащей утилитой KVRT
      поймал на какой то копии сайта kinogo
      Заранее спасибо!
    • qqjwjjj
      Помогите удалить вирусы
      Автор qqjwjjj
      Когда я сегодня проснулся я увидел что у иконок на рабочем столе нет названий и через какое-то время они появились потом я увидел что с права снизу у меня нет времени и ещё когда я зашёл в проводник там всё было без названий и ещё у меня не работает кнопка пуск и поисковая строка и когда я пытался скачать dr web у меня выходила ошибка у меня сейчас 360 security я им сканировал на вирусы несколько раз и не чего не помогало перезагружал компьютер и не чего переустановить виндоус не могу флешки нету
    • Anton3456
      Неудаляемый CHROMIUM:PAGE.MALWARE.URL ПОМОГИТЕ
      Автор Anton3456
      Здравия переустановил винду скачал только стим решил зарание проверить все ДОКТОРОМ ВЕБ .И в итоге нашел вирус  CHROMIUM:PAGE.MALWARE.URL. что делать подскажите пожалуйста .Таже история что и у других людей этот вирус просто не удаляется помогите исправить пожалуйста 

    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...