Liczba postów: 83
Liczba wątków: 9
Dołączył: 28.02.2013
Reputacja:
1
Przykładowe obrazy JPG i jeden flac.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 302
Liczba wątków: 19
Dołączył: 22.02.2011
Reputacja:
60
Profilaktycznie przeczesałbym jeszcze system w poszukiwaniu pliku "df696522.exe"
za pomocą systemlook
[Aby zobaczyć linki, zarejestruj się tutaj]
z opcji
:filefind
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Prześlij ten plik jako załącznik co się znajduje w temp a następnie usuń. Spakuj go nadając hasło infected.
Liczba postów: 83
Liczba wątków: 9
Dołączył: 28.02.2013
Reputacja:
1
(05.02.2020, 20:31)Fix00ser napisał(a): [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Chciałem pobrać na samym dole strony, ale downloand nie jest aktywny.
Liczba postów: 302
Liczba wątków: 19
Dołączył: 22.02.2011
Reputacja:
60
05.02.2020, 21:04
(Ten post był ostatnio modyfikowany: 05.02.2020, 21:06 przez Fix00ser.)
Systemlook
[Aby zobaczyć linki, zarejestruj się tutaj]
wyizolowany plik df696522.exe można poddać analizie w wirtualnej maszynie za pomocą
SysAnalyzer
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
05.02.2020, 21:05
(Ten post był ostatnio modyfikowany: 05.02.2020, 21:11 przez tachion.)
Po hashu pliku nic z tego nie wynika, wygląda jakby był pusty
Liczba postów: 83
Liczba wątków: 9
Dołączył: 28.02.2013
Reputacja:
1
(05.02.2020, 20:51)tachion napisał(a): [Aby zobaczyć linki, zarejestruj się tutaj] Prześlij ten plik jako załącznik co się znajduje w temp a następnie usuń. Spakuj go nadając hasło infected. Nie rozumiem, jaki plik? Raport programem systemlook?
Tak ma wyglądać interfejs systemlook? Nie widzę opcji ":filefind", tylko samo "look"
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Nie musisz używać systemlook, wystarczy sam frst
Prześlij plik z tej lokalizacji C:\Users\Admin\AppData\Local\Temp\df696522.exe
Liczba postów: 83
Liczba wątków: 9
Dołączył: 28.02.2013
Reputacja:
1
05.02.2020, 21:39
(Ten post był ostatnio modyfikowany: 05.02.2020, 21:58 przez morfeusz.)
Nie mogę przesłać. Pokazuje się informacja że plik jest pusty.
Edit. Ok, chyba zrozumiałem. W systemlook po komendzie :filefind pod spodem umieściłem nazwę tego pliku. Wyniki w załączniku.
Liczba postów: 302
Liczba wątków: 19
Dołączył: 22.02.2011
Reputacja:
60
05.02.2020, 22:05
(Ten post był ostatnio modyfikowany: 05.02.2020, 22:31 przez Fix00ser.)
Thx za listing, rezultat ścieżek taki sam jak z frst.
tylko że waga pliku wynosi null czyli 0
Intuicja mi podpowiada by jednak dobrać się do tego intruza pozasystemowo, jak proponowałem w pierwszym moim poście, ale ten dział to królestwo kolegi @ tachion
i nie chcę za bardzo specjaliście mieszać w tym wątku, ale prawdopodobnie na tych nosnikach istnieją fragmenty kodu które przemawiają za tym że brał w tym udział
kod typu ransomware i raczej wg mnie nie ma możliwości by odzyskać pliki które były zmienione/zaszyfrowane przez infekcję tego intruza.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
To dodaj tą ścieżkę co podałem do frst klik napraw , program to powinien usunąć. Z VT wynika że i tak analiza nic nie wniesie. Sprawdź po tym czy plik nadal się znajduje w tej lokalizacji. Następnie jak proponowali wcześniej wykonaj skanowanie (programem najlepiej wielosilnikowym) całego systemu wraz z dyskiem zewnętrznym.
Liczba postów: 83
Liczba wątków: 9
Dołączył: 28.02.2013
Reputacja:
1
Zrobiłem także skan SysAnalyze,r ale nie wiem jak wysłać raport. Jest tu wiele opcji załączników tego raportu.
(05.02.2020, 22:05)Fix00ser napisał(a): [Aby zobaczyć linki, zarejestruj się tutaj] Intuicja mi podpowiada by jednak dobrać się do tego intruza pozasystemowo, jak proponowałem w pierwszym moim poście, Czyli bootowalnym Kasperskim?
Co tak dokładnie zrobić? Wcześnie wszedłem z ciekawości, ale nie wiem jak tam się poruszać, co zrobić.
Liczba postów: 302
Liczba wątków: 19
Dołączył: 22.02.2011
Reputacja:
60
05.02.2020, 22:41
(Ten post był ostatnio modyfikowany: 05.02.2020, 23:22 przez Fix00ser.)
[Aby zobaczyć linki, zarejestruj się tutaj]
wielosilnikowy scanner bootable UBCD4WIN
[Aby zobaczyć linki, zarejestruj się tutaj]
Tylko dla przypomnienia
by importować pobrane lustro nosnika w formie obrazu iso na pena używaj rufusa
Liczba postów: 83
Liczba wątków: 9
Dołączył: 28.02.2013
Reputacja:
1
(05.02.2020, 22:30)tachion napisał(a): [Aby zobaczyć linki, zarejestruj się tutaj] To dodaj tą ścieżkę co podałem do frst klik napraw , program to powinien usunąć. Narzędzie, czyli frst umieścić tak gdzie jest ten plik, bo woła że nie można uruchomić scanowania.
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Obok FRST utwórz fixlist.txt i wklej: C:\Users\Admin\AppData\Local\Temp\df696522.exe potem klik napraw
Liczba postów: 83
Liczba wątków: 9
Dołączył: 28.02.2013
Reputacja:
1
06.02.2020, 05:39
(Ten post był ostatnio modyfikowany: 06.02.2020, 06:11 przez morfeusz.)
W załączniki raport naprawy.
Nie mogę w biosie na laptopie koleżanki przestawić jako priorytet usb, aby odpalić pendrive. Klikam enterem aby zatwierdzić i nic się nie dzieje. W ogóle w zakładce boot nic nie można ruszyć. A przydałoby się laptop i dysk zewnętrzny przeskanować.
Liczba postów: 302
Liczba wątków: 19
Dołączył: 22.02.2011
Reputacja:
60
06.02.2020, 08:39
(Ten post był ostatnio modyfikowany: 06.02.2020, 08:48 przez Fix00ser.)
Czasami by cokolwiek zmienić w sekcji boot należy wyłączyć SecureBoot,
ale w niektórych BIOSACH wymagane jest również dodatkowo ustawienie hasła
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 83
Liczba wątków: 9
Dołączył: 28.02.2013
Reputacja:
1
(06.02.2020, 08:39)Fix00ser napisał(a): [Aby zobaczyć linki, zarejestruj się tutaj] Czasami by cokolwiek zmienić w sekcji boot należy wyłączyć SecureBoot,
ale w niektórych BIOSACH wymagane jest również dodatkowo ustawienie hasła Niestety w tym laptopie (Toshiba Satellite A 105-S2111) nie ma dostępnego SecureBoot.
Liczba postów: 302
Liczba wątków: 19
Dołączył: 22.02.2011
Reputacja:
60
Możliwe że przy uruchomieniu lapka z wpiętym penem menedżer szybkiego rozruchu [f-12] zaakceptuje wybór zmiany bootowania z pena
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Tak jak poprzednio do notatnika wklej i wykonaj zawartość:
Kod: CloseProcesses:
HKLM\...\RunOnce: [] => [X]
C:\Users\Admin\AppData\Roaming\AVG
C:\Program Files\AVG
C:\Users\Admin\AppData\Local\Avg
C:\ProgramData\Avg
C:\Users\Admin\AppData\Local\Temp\*
|