Перейти к содержанию
Правила раздела

Nemesis? Lojax? UEFI вирус, помогите определить

Дмитрий21

Автор Дмитрий21
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Дмитрий21

Дмитрий21

Опубликовано
Опубликовано

Пытаюсь получить помощь так же и на других форумах. У сожалению на eset32 ко мне отнеслись не серьезно. Вопрос серьезный, вирус ничем не детектируется, и достаточно подробную информацию вы можете получить прочитав тему на ESETNOD:

https://forum.esetnod32.ru/forum6/topic16189/?PAGEN_1=3

 

В эту тему прикладываю только отчеты, т.к. сложно собрать такой объем информации в одном сообщении. Пробежавшись по первой странице вся суть будет ясна.

Очень прошу вашей помощи, я сношаюсь с этим вирусом уже скоро будет как пол года. Пожалуйста помогите остановить эту войну, т.к. вирус проявляет себя на мобильных устройствах в том числе. И под всеми видами операционных систем.

Роутер был неоднократно сброшен, вирусы на нем обнаружены не были. (Возможно неправильно или плохо искал, в поддержке заверили что в флешпамять роутера запись невозможна)

Не вижу как приложить файлы поэтому ссылкой на скажу из темы eset:

https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=117964&action=download

regist

regist

Опубликовано
Опубликовано

1) Тут нужны свои логи Порядок оформления запроса о помощи

2) Почитал начала темы там... правильно, что подозреваете у себе паронойю. Собственно собирать логи на мой взгляд вам смысла нет, если хотите обсудить, то что на ваш взгляд кажется проблемами, то лучше перенести тему в другой раздел и обсудить там.

3) Скачанные файлы, да лучше проверять не на вирустотал, а намного надёжней проверять по хешу. Часто разработчики указывают хеши на странице скачивания. Например хеш для Автологера вы сможете посмотреть по этой ссылке.

4) То что при скачивание происходит редирект на большистве сайтов и начинает качать по другой ссылке, а не то что вы видели изначально это нормально и связано с тех. нюансами работы сайта, а не с вирусами. Поэтому и воспроизводится на любом устройстве, а не только у вас ?

Дмитрий21

Дмитрий21

Опубликовано
  • Автор
Опубликовано
55 минут назад, regist сказал:

1) Тут нужны свои логи Порядок оформления запроса о помощи

2) Почитал начала темы там... правильно, что подозреваете у себе паронойю. Собственно собирать логи на мой взгляд вам смысла нет, если хотите обсудить, то что на ваш взгляд кажется проблемами, то лучше перенести тему в другой раздел и обсудить там.

3) Скачанные файлы, да лучше проверять не на вирустотал, а намного надёжней проверять по хешу. Часто разработчики указывают хеши на странице скачивания. Например хеш для Автологера вы сможете посмотреть по этой содит редирект на большистве сайтов и начинает качать по другой ссылке, а не то что вы видели изначально это нормально и связано с тех. нюансами работы сайта, а не с вирусами. Поэтому и воспроизводится на любом устрсылке.

4) То что при скачивание происходит редирект на большистве сайтов и начинает качать по другой ссылке, а не то что вы видели изначально это нормально и связано с тех. нюансами работы сайта, а не с вирусами. Поэтому и воспроизводится на любом устройстве, а не только у вас ?

 

 

Пожалуйста прочтите 3ю страницу темы на eset. если бы это была просто паранойя я бы не стал писать на других форумах.

В момент скачивания файла ядро системы начинает загрузку с другой ссылки. И если посмотреть в файле в вкладке подробно то там первичные названия можно встретить и setup.sfx.exe, и bootstraped.exe, а при завершении скачивания файл выглядит как нужно, правильный вес, подпись, имя файла.

к сожалению не все разработчики выкладывают хэши, с этим и возникла трудность проверки некоторых файлов.

ладно, может с rufus я немного перегнул, но что на счет второго примера?

mysql.com имеет сертификат распространяющийся на dev.mysql.com, но не на cdn.mysql.com, откуда начинается закачка:

 

 

Цитата

Orig:

dev.mysql.com/get/Downloads/Connector-J/mysql-connector-java-5.1.49.zip

 

Fake?:

cdn.mysql.com//Downloads/Connector-J/mysql-connector-java-5.1.49.zip

 

обратите внимание - кажется ссылка выглядит немного криво для такого домена.

 

я сразу добавлю что имел место быть инцидент когда я однажды зашел в биос и обнаружил что прошивка которая всегда была 2018 года релиза стала вдруг 2016. конечно я ее заменил, но видимо было уже поздно. Я не шучу и не паранойю, это вирус разряда UEFI/BIOS. И исполнятся он именно в ядре. Многие виндовсовские библиотеки а так же процессы показывают аномальную активность/поведение при детальном рассмотрении утилитой AVZ (просмотр библиотек, расширений ядра, внедренных потоков)

 

Это можно наглядно увидеть в отчете AVZ - avz_services.htm

Многие библиотеки имеют странные окончания типа _92155 и при этом являются дубликатом оригинальной библиотеки с таким названием

Дмитрий21

Дмитрий21

Опубликовано
  • Автор
Опубликовано

пожалуйста прочтите тему с Eset - 4ю страницу, дополнил туда свои предположения. Еще хочу добавить - я использую дома кнопочный двухсимочный телефон (с Bluetooth и возможностью создавать точки доступа) - Aceline Fl1. Он использовался для доставки оповещений в виде звонков на другие мои телефоны. Сейчас я полазал в нем и обнаружил что настройки зашиты паролем, на телефона вроде бы как появились расширенные возможности по BT подключениям и собственно возможность организовать точку. телефон я этот покупал сам и никакие настройки не блокировал. Могла ли иметь место атака blueborne? Подробнее об этом в теме ESET (+виртуализация системы, непонятные вирт. адаптеры, подключение IPv6 и т.п.) 

Я кидаю вам лог с ноутбука который приобрел позавчера т.к. в бесконечных попытках победить вирус на основном пк система была уничтожена, диски уже по 2 раза форматировались в GPT и т.д., и т.п....

Вот только на том форуме клоун какой-то сидит отвечает :[ время только мое тратит

 

CollectionLog-2020.11.16-18.10.zip

Sandor

Sandor

Опубликовано
Опубликовано

App Explorer и браузер Brave относятся к нежелательному ПО. Деинсталлируйте их.

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vag
      Помогите определить шифровальщик
      Автор vag
      Добрый день, проблема решена? Сегодня такая же ситуация
      Сообщение от модератора kmscom Сообщение выделено из темы Помогите определить шифровальщик  
    • Vicrius
      Помогите определить шифровальщик
      Автор Vicrius
      Добрый день!
      Утром все файлы на компе зашифрованы с раширением .hercul
      Не могу понять чем зашифровали.
      И такой текстовый файл лежит в каждой папке. Hercul_help.txt  c содержанием
      IF YOU SEE THIS PAGE, IT MEANS THAT YOUR SERVER AND COMPUTERS ARE ENCRYPTED.
      # In subject line please write your personal ID
      7800FA92D77AEB05
      # What is the guarantee that we will not cheat you?
      Send us a small encrypted file to the listed emails.
      (The files must be in a common format, such as: doc-excel-pdf-jpg)
      We will decrypt these files and send them back to you as evidence.
      This notification shows that your system has been hacked.
      They are unavailable because the file structure has been altered to an unreadable format.
      and your data locked with the Hercul suffix.
      and Your vital information, such as databases, financial/developmental, accounting, and strategic papers has been downloaded.

      Contact us:
      Email 1 : Jack2009@skiff.com
      Email 2 : Jack2009@Cyberfear.com
    • qqjwjjj
      Помогите удалить вирусы
      Автор qqjwjjj
      Когда я сегодня проснулся я увидел что у иконок на рабочем столе нет названий и через какое-то время они появились потом я увидел что с права снизу у меня нет времени и ещё когда я зашёл в проводник там всё было без названий и ещё у меня не работает кнопка пуск и поисковая строка и когда я пытался скачать dr web у меня выходила ошибка у меня сейчас 360 security я им сканировал на вирусы несколько раз и не чего не помогало перезагружал компьютер и не чего переустановить виндоус не могу флешки нету
    • s2v
      Помогите отследить вирус
      Автор s2v
      Добрый день!
      В бухгалтерию пришло письма с архивом
      Успели открыть на терминальном сервере и архив сразу исчез. В течении минут 5-7 сообщили сис админам.
      Сервер немедленно перезагрузили и пробежался по нему антивирусом, но ничего не нашел.
      Просьба помочь отследить куда мог залезть вирус и где его подчистить.
      Заранее благодарен
       
    • Malox
      Помогите добить вирусы
      Автор Malox
      Буквально пару часов назад заразился каким то комбо из троянов и майнеров.
      Вирусы блокировали работу браузера, а так же уже существующего антивируса
      Сделал бэк системы, и возможно мне повезло тем что вирусы не успели развернутся, скачал KVRT
      Показывало что один из вирусов был вшит в оперативную память что и является моим главным опасением
      еще один был прописан в System32\drivers\ets\hosts, и так же по пути C:\ProgramData\WindowsTask\ указывало Trojan.Multi.Agent.n и там был xml файл в котором как я предполагаю было прописано то что мешало нормальной работе браузера
      Хоть и KVRT показывает что вирусы удалены, у меня все еще блокируется работа Discord, я хочу до конца добить то что попало ко мне
      Прикрепляю логи и скриншоты с KVRT
      UPD: В системе присутствовал пользователь John 
       



      CollectionLog-2024.01.23-23.28.zip report1.log report2.log
×
×
  • Создать...