• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Помогите с вирусом в драйверах

Статус
В этой теме нельзя размещать новые ответы.

Qresminh

Новый пользователь
Сообщения
13
Реакции
1
Баллы
3
Прошу помочь разобраться с комбинированным вирусом, возможно полиморфом.
История началась с произвольных выключений и перезагрузок компьютера(изначально перезагружался через 5-10-15 секунд после выключения пользователем).
Начал искать проблему в железе.
Уделив на это почти неделю, ничего серьезного не нашел кроме двух BSOD'ов.
Дампы(увы, удалил) указывали на конфликт модулей внутри оперативки (ntdll.dll, либо kernel32.dll и ntdll.dll).
Резетнул БИОС и все вроде стало хорошо, но не тут-то было. Вирус всё это время находился в драйверах с ключевым словом 'USB'.Отключил их, и тут же система выдала BSOD с ошибкой 0x000007b. Вернул дрова в исходное состояние и решил снести винду. Сегодня переустановил винду, настроил, поставил Outpost Firewall Pro и уже предвкушая свой серфинг по инету, устанавливал дрова для LAN-контроллера. Всё сделал, к инету был доступ и тут же решил сменить пароль на роутере(HG8245H), а мне в ответ - неправильное имя пользователя или пароль.
И тут я отчаялся.
Резетнул роутер простым нажатием, нажатием при отключении от питания, при отключении питания и последовательной его подачей через секунд 20-30(все это время зажимая кнопку резет). Ничего не помогло - дефолтные данные для входа, данные ростелекомом не подходят. Были мысли, что вирус мог перепрошить роутер - но это ведь маловероятно?
Также замечал странные следы использования(Game explorer, rdpclip.exe, mctadmin.exe, Windows Media Player, еще что-то) очищая систему софтом CCleaner или HJT. В следующий раз залью скриншоты из CCleaner.
Привет.
 

Вложения

Последнее редактирование:

Qresminh

Новый пользователь
Сообщения
13
Реакции
1
Баллы
3
Завтра после полудня по Москве залью. Спасибо за внимание.
 

akok

Команда форума
Администратор
Сообщения
17,958
Реакции
13,567
Баллы
2,203
Без проблем. Ждем.
 

Qresminh

Новый пользователь
Сообщения
13
Реакции
1
Баллы
3
Подозреваю, что проблема отпадет сама собой при полном вайпе и последующей установке оригинальной 64ч семерки. Почему? Пруф в прикрепленных - автор моей сборки засветился даже на лурке, где его так лестно увековечили. Это полный трындец, ведь я пользуюсь этой осью уже года 3-4. Надо обязательно сносить.
Остается решить проблему с роутером. Никак не могу зайти в интерфейс. Думается мне тут 2 варианта - либо троян блокирует нормальный доступ к нему, либо же вирус перепрошил роутер. Маловероятно, что троян смог бы реализовать второй вариант. Но все же лучше быть готовым во всеоружии.
Вчера не нашел прошивку на HG8245H. Не знаю, может плохо искал. Выделю на это еще какое-то время.
З.Ы. Подскажите, пожалуйста - какие признаки заражения BIOS'а вирусом, как его оттуда выселить без существенных финансовых затрат?
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,958
Реакции
13,567
Баллы
2,203
Смотря какой биос, UEFI возможно заражение, но пока, крайне маловероятно. Я бы склонялся версии покореженной сборки.
Outpost Firewall Pro - поддержка завершена еще в 2017 (кстати он может и ломать связь с роутером)

Подключение к роутеру через кабель? Если нет, попробуйте через кабель подключиться. Если не поможет, то сбрасывайте его на заводские настройки с последующей сменой пароля.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

Qresminh

Новый пользователь
Сообщения
13
Реакции
1
Баллы
3
Надеюсь, что-то из этого даст пищу для ума. Сборка плохая, снес. Интернет работает. НО! Не могу залогиниться в веб-интерфейс. Все комбинации логинов и паролей из инета перепробовал для этой модели, увы. Не имея доступ к интерфейсу, возможно ли его перепрошить? Используя при этом какой-нибудь exploit или bypass?
З.Ы. Какой софт лучше использовать для относительно безопасного серфинга в интернетах? Приглянулся Тор с Лисой. Там есть команда волшебная, которая мне понравилась - about:config
С брандмауэром и антивирусом не могу определиться. Также есть идея использовать виртуальную машину, как первую линию безопасности, и неважно для какой деятельности - будь то просмотр фильмов, просиживание в браузере, или же задротские пороки в каком-нибудь игре.
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,958
Реакции
13,567
Баллы
2,203
Не имея доступ к интерфейсу, возможно ли его перепрошить?
Не перепрошить, а сбросить на заводские настройки. На роутере предусмотрен механизм сброса, обычно зажиманием кнопки RESET, какая модель роутера?

Также есть идея использовать виртуальную машину
Если позволяют ресурсы, то этого будет достаточно + TOR. А основную машину использовать только для безопасных операций.

С брандмауэром и антивирусом не могу определиться
Любой популярный антивирус (можно с встроенным брандмауэром) предоставит достаточную защиту
 

Qresminh

Новый пользователь
Сообщения
13
Реакции
1
Баллы
3
Привет. Виртуальная машина не запускала игровой клиент, пришлось довериться встроенному брандмауэру и антивирусу от мягкотелых. В целом сносно работает, без нареканий. Могу я здесь оставить лог от GetSystemInfo для подробного анализа и корректировки? Смущает, что система пытается подключиться к интернету через порты 49153-49159.
 

akok

Команда форума
Администратор
Сообщения
17,958
Реакции
13,567
Баллы
2,203
Смущает, что система пытается подключиться к интернету через порты 49153-49159.
Это Динамический порт — Википедия
Могу я здесь оставить лог от GetSystemInfo для подробного анализа и корректировки?
Давайте посмотрим
 

Qresminh

Новый пользователь
Сообщения
13
Реакции
1
Баллы
3
Эти порты и смущают. Разве они не должны быть закрыты? Складывается впечатление, что система пытается слить персональные данные в Интернет.

 

akok

Команда форума
Администратор
Сообщения
17,958
Реакции
13,567
Баллы
2,203
Почему? Это нормальное поведение FF
43444
 

Qresminh

Новый пользователь
Сообщения
13
Реакции
1
Баллы
3
Windows передает телеметрию на сервера MS.
Отключил задачи в планировщике, заведомо бесполезные службы, даже встроенный брандмауэр..но нет - система упорно хочет поделиться тем, что происходит у меня на ПК. Есть ли информация, полезная и/или безвредная, для тщательной настройки системы для прекращения сбора телеметрии?
 

akok

Команда форума
Администратор
Сообщения
17,958
Реакции
13,567
Баллы
2,203
Вариант со сменой ОС мы не рассматриваем. Тогда как-то так Как отключить «шпионские» функции и автообновление до Windows 10 (бекапьтесь в начале, результат может быть неожиданным)

+++Еще логи пересмотрим
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 

Qresminh

Новый пользователь
Сообщения
13
Реакции
1
Баллы
3
Статья хорошая, была полезная для удаления 2 пакетов обновления телеметрии. Запустил центр обновлений и пришлось временно отключить системный брандмауэр. Не нашел исполняемого файла для проверки актуальных обновлений.
Перепрошил BIOS и MFT для активации ОС. Возможно, заподозрят неизвестный загрузчик больше, чем какую-нибудь pyfa. И не исключено, что кого-то смутит обратная ситуация. У всех опыт разный.
 

Вложения

Qresminh

Новый пользователь
Сообщения
13
Реакции
1
Баллы
3
Из всего что там указано, я бы оставил неизменным:

O4 - HKLM\..\Run: [MSC] = C:\Program Files\Microsoft Security Client\msseces.exe -hide -runkey
O17 - DHCP DNS 1: 192.168.100.1
O23 - Driver R3: ASUS Xonar DGX Audio Interface - (cmudaxp) - C:\Windows\system32\drivers\cmudaxp.sys
O23 - Driver R3: Intel(R) Management Engine Interface - (MEIx64) - C:\Windows\system32\DRIVERS\HECIx64.sys

MEI, скорее всего, влияет на кулер видеокарты.
Остальное, желательно, в корзину.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,958
Реакции
13,567
Баллы
2,203
В логе HJT не видно ничего вредоносного. А при помощи UVS уберем немного мусора
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1.4 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    BREG
    deltmp
    ;---------command-block---------
    delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\E8073106FCD492E4FEF09C2B06022F3B\5C66DB580ED15D4963CD5702A8B09DD72BD1C3D6
    delref %SystemDrive%\USERS\RAB1\APPDATA\LOCAL\TEMP\CHROME_BITS_4148_28234\5126_ALL_CRL-SET-13157009311540162477.DATA.CRX3
    delref %SystemDrive%\USERS\RAB1\APPDATA\LOCAL\TEMP\CHROME_BITS_620_21536\5129_ALL_CRL-SET-12999317106103142826.DATA.CRX3
    delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
    delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
    delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
    delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
    delref E:\ВИРТУАЛКА\СОФТ\VMNETBRIDGE.DLL
    delref %SystemDrive%\PROGRAM FILES\COMODO\COMODO INTERNET SECURITY\CMDAGENT.EXE
    delref E:\ВИРТУАЛКА\СОФТ\ELEVATED.DLL
    apply
    
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
 

Qresminh

Новый пользователь
Сообщения
13
Реакции
1
Баллы
3
Сделано.
Этот uVS хорош, вряд ли существует что-то более эффективное для скана системы.
К сообщению прикрепил текстовый файл, есть идеи на что это похоже? На ПК еще встречаются всякие приблуды, которые мозолят глаза. Что-то типа: VGASAVE.sys, remoteFX, POSIX.
Конечно, проблема с дровами уже в прошлом..но мало ли появится подобная ситуация, и хотелось бы знать как её диагностировать. Вирусы довольно успешно копируют ЭЦП от мягкотелых, и благодаря этому гораздо сложнее выявить наличие угрозы.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,958
Реакции
13,567
Баллы
2,203
Это легитимные части ОС.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу