Перейти к содержанию

Nemesis? Lojax? UEFI вирус, помогите определить


Рекомендуемые сообщения

Пытаюсь получить помощь так же и на других форумах. У сожалению на eset32 ко мне отнеслись не серьезно. Вопрос серьезный, вирус ничем не детектируется, и достаточно подробную информацию вы можете получить прочитав тему на ESETNOD:

https://forum.esetnod32.ru/forum6/topic16189/?PAGEN_1=3

 

В эту тему прикладываю только отчеты, т.к. сложно собрать такой объем информации в одном сообщении. Пробежавшись по первой странице вся суть будет ясна.

Очень прошу вашей помощи, я сношаюсь с этим вирусом уже скоро будет как пол года. Пожалуйста помогите остановить эту войну, т.к. вирус проявляет себя на мобильных устройствах в том числе. И под всеми видами операционных систем.

Роутер был неоднократно сброшен, вирусы на нем обнаружены не были. (Возможно неправильно или плохо искал, в поддержке заверили что в флешпамять роутера запись невозможна)

Не вижу как приложить файлы поэтому ссылкой на скажу из темы eset:

https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=117964&action=download

Ссылка на сообщение
Поделиться на другие сайты

1) Тут нужны свои логи Порядок оформления запроса о помощи

2) Почитал начала темы там... правильно, что подозреваете у себе паронойю. Собственно собирать логи на мой взгляд вам смысла нет, если хотите обсудить, то что на ваш взгляд кажется проблемами, то лучше перенести тему в другой раздел и обсудить там.

3) Скачанные файлы, да лучше проверять не на вирустотал, а намного надёжней проверять по хешу. Часто разработчики указывают хеши на странице скачивания. Например хеш для Автологера вы сможете посмотреть по этой ссылке.

4) То что при скачивание происходит редирект на большистве сайтов и начинает качать по другой ссылке, а не то что вы видели изначально это нормально и связано с тех. нюансами работы сайта, а не с вирусами. Поэтому и воспроизводится на любом устройстве, а не только у вас 🙂

Ссылка на сообщение
Поделиться на другие сайты
55 минут назад, regist сказал:

1) Тут нужны свои логи Порядок оформления запроса о помощи

2) Почитал начала темы там... правильно, что подозреваете у себе паронойю. Собственно собирать логи на мой взгляд вам смысла нет, если хотите обсудить, то что на ваш взгляд кажется проблемами, то лучше перенести тему в другой раздел и обсудить там.

3) Скачанные файлы, да лучше проверять не на вирустотал, а намного надёжней проверять по хешу. Часто разработчики указывают хеши на странице скачивания. Например хеш для Автологера вы сможете посмотреть по этой содит редирект на большистве сайтов и начинает качать по другой ссылке, а не то что вы видели изначально это нормально и связано с тех. нюансами работы сайта, а не с вирусами. Поэтому и воспроизводится на любом устрсылке.

4) То что при скачивание происходит редирект на большистве сайтов и начинает качать по другой ссылке, а не то что вы видели изначально это нормально и связано с тех. нюансами работы сайта, а не с вирусами. Поэтому и воспроизводится на любом устройстве, а не только у вас 🙂

 

 

Пожалуйста прочтите 3ю страницу темы на eset. если бы это была просто паранойя я бы не стал писать на других форумах.

В момент скачивания файла ядро системы начинает загрузку с другой ссылки. И если посмотреть в файле в вкладке подробно то там первичные названия можно встретить и setup.sfx.exe, и bootstraped.exe, а при завершении скачивания файл выглядит как нужно, правильный вес, подпись, имя файла.

к сожалению не все разработчики выкладывают хэши, с этим и возникла трудность проверки некоторых файлов.

ладно, может с rufus я немного перегнул, но что на счет второго примера?

mysql.com имеет сертификат распространяющийся на dev.mysql.com, но не на cdn.mysql.com, откуда начинается закачка:

 

 

Цитата

Orig:

dev.mysql.com/get/Downloads/Connector-J/mysql-connector-java-5.1.49.zip

 

Fake?:

cdn.mysql.com//Downloads/Connector-J/mysql-connector-java-5.1.49.zip

 

обратите внимание - кажется ссылка выглядит немного криво для такого домена.

 

я сразу добавлю что имел место быть инцидент когда я однажды зашел в биос и обнаружил что прошивка которая всегда была 2018 года релиза стала вдруг 2016. конечно я ее заменил, но видимо было уже поздно. Я не шучу и не паранойю, это вирус разряда UEFI/BIOS. И исполнятся он именно в ядре. Многие виндовсовские библиотеки а так же процессы показывают аномальную активность/поведение при детальном рассмотрении утилитой AVZ (просмотр библиотек, расширений ядра, внедренных потоков)

 

Это можно наглядно увидеть в отчете AVZ - avz_services.htm

Многие библиотеки имеют странные окончания типа _92155 и при этом являются дубликатом оригинальной библиотеки с таким названием

Ссылка на сообщение
Поделиться на другие сайты
22 часа назад, regist сказал:

Если правильных логов не будет, тему перенесем в "Беседку".

Ссылка на сообщение
Поделиться на другие сайты

пожалуйста прочтите тему с Eset - 4ю страницу, дополнил туда свои предположения. Еще хочу добавить - я использую дома кнопочный двухсимочный телефон (с Bluetooth и возможностью создавать точки доступа) - Aceline Fl1. Он использовался для доставки оповещений в виде звонков на другие мои телефоны. Сейчас я полазал в нем и обнаружил что настройки зашиты паролем, на телефона вроде бы как появились расширенные возможности по BT подключениям и собственно возможность организовать точку. телефон я этот покупал сам и никакие настройки не блокировал. Могла ли иметь место атака blueborne? Подробнее об этом в теме ESET (+виртуализация системы, непонятные вирт. адаптеры, подключение IPv6 и т.п.) 

Я кидаю вам лог с ноутбука который приобрел позавчера т.к. в бесконечных попытках победить вирус на основном пк система была уничтожена, диски уже по 2 раза форматировались в GPT и т.д., и т.п....

Вот только на том форуме клоун какой-то сидит отвечает :[ время только мое тратит

 

CollectionLog-2020.11.16-18.10.zip

Ссылка на сообщение
Поделиться на другие сайты

App Explorer и браузер Brave относятся к нежелательному ПО. Деинсталлируйте их.

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...