Zainfekowany zewnętrzny dysk HDD
#41
Przykładowe obrazy JPG i jeden flac.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#42
Profilaktycznie przeczesałbym jeszcze system w poszukiwaniu pliku "df696522.exe"
za pomocą systemlook

[Aby zobaczyć linki, zarejestruj się tutaj]

z opcji
:filefind
Odpowiedz
#43
Prześlij ten plik jako załącznik co się znajduje w temp a następnie usuń. Spakuj go nadając hasło infected.
Odpowiedz
#44
(05.02.2020, 20:31)Fix00ser napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Chciałem pobrać na samym dole strony, ale downloand nie jest aktywny.
Odpowiedz
#45
Systemlook

[Aby zobaczyć linki, zarejestruj się tutaj]

wyizolowany plik df696522.exe można poddać analizie w wirtualnej maszynie za pomocą
SysAnalyzer

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#46
Po hashu pliku nic z tego nie wynika, wygląda jakby był pusty
Odpowiedz
#47
(05.02.2020, 20:51)tachion napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Prześlij ten plik jako załącznik co się znajduje w temp a następnie usuń. Spakuj go nadając hasło infected.
Nie rozumiem, jaki plik? Raport programem systemlook?

Tak ma wyglądać interfejs  systemlook? Nie widzę opcji ":filefind", tylko samo "look"
Odpowiedz
#48
Nie musisz używać systemlook, wystarczy sam frst

Prześlij plik z tej lokalizacji C:\Users\Admin\AppData\Local\Temp\df696522.exe
Odpowiedz
#49
Nie mogę przesłać. Pokazuje się informacja że plik jest pusty.

Edit. Ok, chyba zrozumiałem. W systemlook po komendzie :filefind pod spodem umieściłem nazwę tego pliku. Wyniki w załączniku.
Odpowiedz
#50
Thx za listing, rezultat ścieżek taki sam jak z frst.
tylko że waga pliku wynosi null czyli 0
Intuicja mi podpowiada by jednak dobrać się do tego intruza pozasystemowo, jak proponowałem w pierwszym moim poście, ale ten dział to królestwo kolegi @tachion
i nie chcę za bardzo specjaliście mieszać w tym wątku, ale prawdopodobnie na tych nosnikach istnieją fragmenty kodu które przemawiają za tym że brał w tym udział
kod typu ransomware i raczej wg mnie nie ma możliwości by odzyskać pliki które były zmienione/zaszyfrowane przez infekcję tego intruza.
Odpowiedz
#51
To dodaj tą ścieżkę co podałem do frst klik napraw , program to powinien usunąć. Z VT wynika że i tak analiza nic nie wniesie. Sprawdź po tym czy plik nadal się znajduje w tej lokalizacji. Następnie jak proponowali wcześniej wykonaj skanowanie (programem najlepiej wielosilnikowym) całego systemu wraz z dyskiem zewnętrznym.
Odpowiedz
#52
Zrobiłem także skan SysAnalyze,r ale nie wiem jak wysłać raport. Jest tu wiele opcji załączników tego raportu.

(05.02.2020, 22:05)Fix00ser napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Intuicja mi podpowiada by jednak dobrać się do tego intruza pozasystemowo, jak proponowałem w pierwszym moim poście,
Czyli bootowalnym Kasperskim?
Co tak dokładnie zrobić? Wcześnie wszedłem z ciekawości, ale nie wiem jak tam się poruszać, co zrobić.
Odpowiedz
#53

[Aby zobaczyć linki, zarejestruj się tutaj]

wielosilnikowy scanner bootable UBCD4WIN

[Aby zobaczyć linki, zarejestruj się tutaj]

Tylko dla przypomnienia
by importować pobrane lustro nosnika w formie obrazu iso na pena używaj rufusa
Odpowiedz
#54
(05.02.2020, 22:30)tachion napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

To dodaj tą ścieżkę co podałem do frst klik napraw , program to powinien usunąć.
Narzędzie, czyli frst umieścić tak gdzie jest ten plik, bo woła że nie można uruchomić scanowania.
Odpowiedz
#55
Obok FRST utwórz fixlist.txt i wklej: C:\Users\Admin\AppData\Local\Temp\df696522.exe potem klik napraw
Odpowiedz
#56
W załączniki raport naprawy.

Nie mogę w biosie na laptopie koleżanki przestawić jako priorytet usb, aby odpalić pendrive. Klikam enterem aby zatwierdzić i nic się nie dzieje. W ogóle w zakładce boot nic nie można ruszyć. A przydałoby się laptop i dysk zewnętrzny przeskanować.
Odpowiedz
#57
Czasami by cokolwiek zmienić w sekcji boot należy wyłączyć SecureBoot,
ale w niektórych BIOSACH wymagane jest również dodatkowo ustawienie hasła

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#58
(06.02.2020, 08:39)Fix00ser napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Czasami by cokolwiek zmienić w sekcji boot należy wyłączyć SecureBoot,
ale w niektórych BIOSACH wymagane jest również dodatkowo ustawienie hasła
Niestety w tym laptopie (Toshiba Satellite A 105-S2111) nie ma dostępnego SecureBoot.
Odpowiedz
#59
Możliwe że przy uruchomieniu lapka z wpiętym penem menedżer szybkiego rozruchu [f-12] zaakceptuje wybór zmiany bootowania z pena

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#60
Tak jak poprzednio do notatnika wklej i wykonaj zawartość:

Kod:
CloseProcesses:
HKLM\...\RunOnce: [] => [X]
C:\Users\Admin\AppData\Roaming\AVG
C:\Program Files\AVG
C:\Users\Admin\AppData\Local\Avg
C:\ProgramData\Avg
C:\Users\Admin\AppData\Local\Temp\*
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości