Вирус в BIOS/MBR ли има лаптопа, че така се появява CMD прозореца за кратко и изчева?

[AlienBoss]

Имам съмнение, че лаптопа е заразен с вирус. Тъй като Windows Defender показва, че няма наличие на вируси, след извършено стандартно сканиране, мисля, че става въпрос за вирус, инфекрирал BIOS или Master Boot Record.

Докато работя с лаптопа, понякога виждам как се появява CMD прозорец, който е празен, напълно черен, за по-малко от една секунда (вероятно 0,5 секунди или дори по-малко), след което изчезва. Преди малко пак се появи, но този път имаше и икона, която се появи в лентата със задачи - появи се заедно с CMD прозореца, и изчезна с него - отново става въпрос за светкавично появяване и изчезване.

Как моа да разбера дали това се причинява от вирус или е нормален процес?

Преди няколко дни отново се случи, докато гледах Windows Task Manager. Забелязах, че появаването се случи секунда след като CPU потреблението на Antimalware Service Executable започна да се увеличава. дали не става въпрос за вирус, който манипулира анти-вирусната пропгара така, че да не може да бъде засечен? Вероятно манипулацията започва точно токава, когато вируса засече, че Windows Defender е на път да започне да сканира автоматично. Когато пусна ръчно сканиране, не се появява CMD прозореца. Този прозорец се появава много рядко - виждам го 1-2 пъти на седмица. Може да се появява и по-често, но да не го виждам понеже не съм пред компютъра 24/7.

Какво предлагате да направя? Дали нещо не се регистрира в Event Viewer? Последния път, когато се появи този прозорез, стана между 17:12 и 17:13. Прегледах Event Viewer, но не открих събитие, регистрирано в периода от време между 17:12 и 17:13.

[овню]

изпълнете инструкциите за първа помощ докато дойде доктора!

https://www.kaldata.com/forums/topic/132819-системата-ми-е-инфектирана-какво-да-правя-сега/

 

[AlienBoss]

преди 3 минути, овню написа:

изпълнете инструкциите за първа помощ докато дойде доктора!

https://www.kaldata.com/forums/topic/132819-системата-ми-е-инфектирана-какво-да-правя-сега/

 

Добре.

[ДзВяРа!]

Аз бих префлашнал БИОС като най-сигурна мярка. Бързо и лесно е, и след това няма да остане нищо освен новият записан БИОС. Дори и да няма вирус, след флаша вече ще сте сигурен, че там няма проблем.

[AlienBoss]

Хора, не ми се иска да качвам файловете, тъй като съдържат доста лична информация.

След като се генерираха файловете, прегледах ги подробно. Файловете споменават само официални приложения, пуснати от Майкрософт (не съм теглил нищо, освен официални приложения, които няма как да съдържат вируси). Въпреки това, се виждат ето тези грешки:

Цитат

 

Application errors:
==================
Error: (01/25/2023 05:25:13 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Faulting application name: RuntimeBroker.exe, version: 10.0.19041.746, time stamp: 0x5b78739c
Faulting module name: ntdll.dll, version: 10.0.19041.2130, time stamp: 0xb5ced1c6
Exception code: 0xc0000374
Fault offset: 0x00000000000ff6a9
Faulting process id: 0xdcc
Faulting application start time: 0x01d92d9a66b82cfd
Faulting application path: C:\Windows\System32\RuntimeBroker.exe
Faulting module path: C:\WINDOWS\SYSTEM32\ntdll.dll
Report Id: 41408926-85fb-43fc-92e4-aed577f526e8
Faulting package full name: Microsoft.Windows.Search_1.14.8.19041_neutral_neutral_cw5n1h2txyewy
Faulting package-relative application ID: runtimebroker07f4358a809ac99a64a67c1

Error: (01/23/2023 01:37:31 AM) (Source: Bonjour Service) (EventID: 100) (User: )
Description: mDNSCoreReceiveResponse: Unexpected conflict discarding   25 13.1.168.192.in-addr.arpa. PTR DESKTOP-7VS5IN1-2.local.

Error: (01/23/2023 01:37:31 AM) (Source: Bonjour Service) (EventID: 100) (User: )
Description: mDNSCoreReceiveResponse: Received from 192.168.1.13:5353   23 13.1.168.192.in-addr.arpa. PTR DESKTOP-7VS5IN1.local.

Error: (01/23/2023 01:37:31 AM) (Source: Bonjour Service) (EventID: 100) (User: )
Description: Local Hostname DESKTOP-7VS5IN1.local already in use; will try DESKTOP-7VS5IN1-2.local instead

Error: (01/23/2023 01:37:31 AM) (Source: Bonjour Service) (EventID: 100) (User: )
Description: mDNSCoreReceiveResponse: ProbeCount 1; will deregister    4 DESKTOP-7VS5IN1.local. Addr 192.168.1.13

Error: (01/23/2023 01:37:31 AM) (Source: Bonjour Service) (EventID: 100) (User: )
Description: mDNSCoreReceiveResponse: Received from 192.168.1.13:5353   16 DESKTOP-7VS5IN1.local. AAAA FE80:0000:0000:0000:CF8B:8EF2:C311:F73C

Error: (01/23/2023 01:37:31 AM) (Source: Bonjour Service) (EventID: 100) (User: )
Description: mDNSCoreReceiveResponse: Resetting to Probing:    4 DESKTOP-7VS5IN1.local. Addr 192.168.137.1

Error: (01/23/2023 01:37:31 AM) (Source: Bonjour Service) (EventID: 100) (User: )
Description: mDNSCoreReceiveResponse: Received from 192.168.137.1:5353   16 DESKTOP-7VS5IN1.local. AAAA FE80:0000:0000:0000:4895:75E8:1D08:7170

System errors:
=============
Error: (01/23/2023 01:37:24 AM) (Source: Tcpip) (EventID: 4207) (User: )
Description: The IPv6 TCP/IP interface with index 19 failed to bind to its provider.

Error: (01/22/2023 01:13:36 PM) (Source: disk) (EventID: 11) (User: )
Description: The driver detected a controller error on \Device\Harddisk1\DR1.

Error: (01/21/2023 02:38:42 PM) (Source: VBoxNetLwf) (EventID: 12) (User: )
Description: The driver detected an internal driver error on \Device\VBoxNetLwf.

Error: (01/21/2023 02:29:33 PM) (Source: VBoxNetLwf) (EventID: 12) (User: )
Description: The driver detected an internal driver error on \Device\VBoxNetLwf.

Error: (01/21/2023 02:16:11 PM) (Source: VBoxNetLwf) (EventID: 12) (User: )
Description: The driver detected an internal driver error on \Device\VBoxNetLwf.

Error: (01/21/2023 01:10:51 PM) (Source: VBoxNetLwf) (EventID: 12) (User: )
Description: The driver detected an internal driver error on \Device\VBoxNetLwf.

Error: (01/19/2023 11:42:16 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: NT AUTHORITY)
Description: Installation Failure: Windows failed to install the following update with error 0x80073d02: 9NMPJ99VJBWV-Microsoft.YourPhone.

Error: (01/17/2023 01:00:02 PM) (Source: disk) (EventID: 11) (User: )
Description: The driver detected a controller error on \Device\Harddisk1\DR4.

 

Това са единствените грешки, които виях, след като прегледах файловете. Тук става ли ясно ккаво причинява появяването и изчезването на CMD прозореца?

току-що, ДзВяРа! написа:

Аз бих префлашнал БИОС като най-сигурна мярка. Бързо и лесно е, и след това няма да остане нищо освен новият записан БИОС. Дори и да няма вирус, след флаша вече ще сте сигурен, че там няма проблем.

Не мога да намеря инсталационния файл за БИОС-а. Преди време го имаше на официалния сайт на производителя на лаптопа, но вече го няма. Наскоро пуснаха нов ъпдейт на този БИОС, затова го ъпдейтнах през Windows Update (optional updates).

[ДзВяРа!]

преди 1 минута, AlienBoss написа:

Не мога да намеря инсталационния файл за БИОС-а. Преди време го имаше на официалния сайт на производителя на лаптопа, но вече го няма. Наскоро пуснаха нов ъпдейт на този БИОС, затова го ъпдейтнах през Windows Update (optional updates).

Модел има ли този лаптоп?

[B-boy/StyLe/]

Лог файловете не съдържат чувствителна информация (самата информация в самите файлове), а само имената им и други характеристики. Сега ако си теглил от розовите сайтове те разбирам.

Без логове тази тема е до голяма степен безсмислена.

100% проблема обаче не се дължи на тези модерни сред доста съфорумци "БИОС вируси". Стига с тази параноя!

Относно засичането на CMD си качи един VoodooShield. Ще прихване командите в реално време и ще ги запише в Command Lines!

А ако те интересува в кой час какво си правил (или какво прави системата) може да си качиш и един ManicTime. Нейното предназначение е друго, но често помага да се разрешат и такива загадки.

[AlienBoss]

преди 2 минути, ДзВяРа! написа:

Модел има ли този лаптоп?

Acer Aspire A315-22

[ДзВяРа!]

преди 3 минути, AlienBoss написа:

Acer Aspire A315-22

https://www.acer.com/us-en/support?filter=global_download&search=Aspire A315-22

[AlienBoss]

преди 5 минути, B-boy/StyLe/ написа:

Лог файловете не съдържат чувствителна информация (самата информация в самите файлове), а само имената им и други характеристики.

Без логове тази тема е до голяма степен безсмислена.

100% проблема обаче не се дължи на тези модерни сред доста съфорумци "БИОС вируси". Стига с тази параноя!

Относно засичането на CMD си качи един VoodooShield. Ще прихване командите в реално време и ще ги запише в Command Lines!

А ако те интересува в кой час какво си правил (или какво прави системата) може да си качиш и един ManicTime. Нейното предназначение е друго, но често помага да се разрешат и такива загадки.

Ще пробвам тези програми. По късно ще кача и лог файловете на FRST.

[B-boy/StyLe/]

току-що, AlienBoss написа:

Ще пробвам тези програми. По късно ще кача и лог файловете на FRST.

Или VoodooShield или CatchPulse. И двете прихващат CMD, PowerShell команди. Comodo също ги прихваща, но е по-сложна за употреба.

https://knowledgebase.secureage.com/catchpulse/Content/application-allowlisting/what-are-the-command-line-rules.htm

Разбира се можеш да се дзвериш (не е към Дзвяра) с Process Monitor, но ще отнеме повече време и логовете от нея стават гигантски дори след филтриране.

[ined]

преди 16 минути, AlienBoss написа:

Acer Aspire A315-22

Спокойно на такъв смотан лаптоп дори вирусите ги е гнус да се качват, значи нямаш такива и в BIOS-a.

[нушо]

преди 9 минути, ined написа:

Спокойно на такъв смотан лаптоп дори вирусите ги е гнус да се качват, значи нямаш такива и в BIOS-a.

За теб е смотан,за други не.

[JKirilov]

Накарахте подрастващото поколение на всичко да вика "BIOS", това е резултата.

[kosyo]

Добре де тук имаме виден спец по БИОС-и защо не питате него. Аз съм сигурен че има отговори и чете машинен код като майчин език:)

Защо не откачих диска и го прегледаш на друг компютър като внимаваш естествено.

[нушо]

Умник някой как го изписват?

Dual Bios и какво значи?

преди 4 минути, JKirilov написа:

Накарахте подрастващото поколение на всичко да вика "BIOS", това е резултата.

 

[Teemo]

преди 49 минути, kosyo написа:

Добре де тук имаме виден спец по БИОС-и защо не питате него. Аз съм сигурен че има отговори и чете машинен код като майчин език:)

Защо не откачих диска и го прегледаш на друг компютър като внимаваш естествено.

Те са едно и също лице.

 

преди 1 час, ДзВяРа! написа:

Модел има ли този лаптоп?

На грухи ейсъра - вече е известен и във космоса.

преди 2 часа, AlienBoss написа:

Имам съмнение, че лаптопа е заразен с вирус. Тъй като Windows Defender показва, че няма наличие на вируси, след извършено стандартно сканиране, мисля, че става въпрос за вирус, инфекрирал BIOS или Master Boot Record.

Докато работя с лаптопа, понякога виждам как се появява CMD прозорец, който е празен, напълно черен, за по-малко от една секунда (вероятно 0,5 секунди или дори по-малко), след което изчезва. Преди малко пак се появи, но този път имаше и икона, която се появи в лентата със задачи - появи се заедно с CMD прозореца, и изчезна с него - отново става въпрос за светкавично появяване и изчезване.

Как моа да разбера дали това се причинява от вирус или е нормален процес?

Преди няколко дни отново се случи, докато гледах Windows Task Manager. Забелязах, че появаването се случи секунда след като CPU потреблението на Antimalware Service Executable започна да се увеличава. дали не става въпрос за вирус, който манипулира анти-вирусната пропгара така, че да не може да бъде засечен? Вероятно манипулацията започва точно токава, когато вируса засече, че Windows Defender е на път да започне да сканира автоматично. Когато пусна ръчно сканиране, не се появява CMD прозореца. Този прозорец се появава много рядко - виждам го 1-2 пъти на седмица. Може да се появява и по-често, но да не го виждам понеже не съм пред компютъра 24/7.

Какво предлагате да направя? Дали нещо не се регистрира в Event Viewer? Последния път, когато се появи този прозорез, стана между 17:12 и 17:13. Прегледах Event Viewer, но не открих събитие, регистрирано в периода от време между 17:12 и 17:13.

Извади един път, десетина кинта от този джоб - крокодили ли има вътре, та те е страх да бръкнеш? Купи си един ключ, за Windows и няма да ти излизат, никакви прозорци.

[nikssi]

Може ли по-темата без излишен спам? Благодаря предварително.

[dioib]

преди 12 часа, JKirilov написа:

Накарахте подрастващото поколение на всичко да вика "BIOS", това е резултата.

Ми ... , че то е така: Базовата (Вазовата) входно изходна система на младите е персоналния им компютър, а за напредналите и/или "богатите",  умните им телефони.  

Из които определено съществува софтуер със съмнителен характер. (И из умните джаджи И из ползвателите на същите) Дали ще го наречеш вирус или удобство за маркетинг (проучване) на потребителите  (потребностите им) е въпрос на гледна точка. Ще интерпретирам поставилия тази тема по следния начин: Ползвам нещо, но се съмнявам в него. Не може ли още по-просто да бъде направено, че и аз идиотът да се чувствам спокоен при ползването му?! 

Аз казах!!! 

п.п. На някои им е хоби да се занимават с вируси, а други пък в свободното си време лекуват чужди компютри, а на трети все вируси им са в главата и/или БИОС-а ...  

[kosyo]

EFI имаше ли тази бракма? Може да си хванал най-новото :

https://www.tomshardware.com/news/moonbounce-malware-hides-in-your-bios-chip-persists-after-drive-formats

Китайците вече знаят всичко за теб

Сори не е този - вчера ми излезе като алерт но не мога да намеря линка. Пак вървеше по EFI-то.

[*S197*]

преди 21 часа, ined написа:

Спокойно на такъв смотан лаптоп дори вирусите ги е гнус да се качват, значи нямаш такива и в BIOS-a.

Ами купи му нов, който не е смотан, тогава.

[AlienBoss]

преди 11 часа, dioib написа:

Ще интерпретирам поставилия тази тема по следния начин: Ползвам нещо, но се съмнявам в него. Не може ли още по-просто да бъде направено, че и аз идиотът да се чувствам спокоен при ползването му?! 

Грешна интерпретация, дядо! Появяването и изчезването на CMD прозореца не е нещо, което се случва просто така. Както и да е.

И не, не ми е нужно да е "про-просто". Защо да е по-просто, като и сега го разбирам?

[dioib]

преди 11 часа, AlienBoss написа:

Защо да е по-просто, като и сега го разбирам?

Точно такива разбирачи като теб се оплакват от вируси.  

Подхождайки като "дядо" със склероза как точно функционира един компютър, то намерих това:

Цитат

Първо трябва да разберете какъв тип стартиращи процеси може да включва стартирането на конзолата чрез cmd.exe файла и само след това да вземете някакво решение за отстраняване на проблема.

Конзолата cmd.exe стартира спонтанно: как да решите проблема? (puntomarinero.com)

Видно е, че първата ни мисъл трябва да се състои в това: До колко ползвания от нас хардуер е "остарял"? 

Последното нещо е да мислим за вируси ... 

Що се касае до BIOS, то става ясно, че не разбираш от въпросния и е възможно да не си го конфигурирал правилно. 

За MBR-а -> Уж си разбиращ, а не знаеш, че без твое лично участие, то, във въпросния не може да се "настани" вирус, или какво: Явно усещането ти, че разбираш е лъжовно ли??? = Няма как да знаем какво си сторил, за да допуснеш такова заразяване. 

Принципно: Нормално е при обновяване на ОС по някое време да "видиш" за кратко такъв "CMD прозорец". = Няма как да знаем какви експерименти си правиш. 

По отношение на "забиване" на такива "прозорци", то по-горе ти е даден способ, за да разбереш кой точно процес довежда до това. 

И основното: При ползване на сайтове с неморални подбуди, то трябва да ползваме и предпазни средства. Най-лесния начин е да ползваме виртуална машина, а не физическата ни. Същата ще представлява виртуален кондом. 

Не се чудя, но ми става интересно, защо след като твърдиш, че разбираш не ползваш виртуална машина за експериментите си? Може би в следствие на това, че не притежаваш необходимата компютърна култура, т.е. моралът ти не е на ниво ... 

п.п. По-имащите имат два компютъра. Да, някои неща са по-хубави да бъдат подложени на реална машина, но в тоя случай трябва да имаме архивирана "чиста" ОС.

Успех в експериментите ти.