Zainfekowany zewnętrzny dysk HDD
#61
Kolejny fixlog.


Załączone pliki
.txt   Fixlog.txt (Rozmiar: 1,61 KB / Pobrań: 62)
Odpowiedz
#62
Teraz w porządku plik został przeniesiony do kwarantanny. Użyj jakiegoś av wielosilnikowego do przeskanowania systemu i innych partycji.
Odpowiedz
#63
(06.02.2020, 22:24)tachion napisał(a): Teraz w porządku plik został przeniesiony do kwarantanny. Użyj jakiegoś av wielosilnikowego do przeskanowania systemu i innych partycji.
Dzięki. Możesz polecić coś dobrego, sprawdzonego wielosilnikowego?
Z ciekawości pytam, do jakiej kwarantanny? System nie ma teraz żadnego programu zabezpieczającego.

Rozumiem że takie scanowanie spowoduje że będzie można normalnie korzystać z dysku zewnętrznego i systemu? Kopiowanie, przenoszenie na różne nośniki, partycję itd. bez obawy że coś przeniesie się na innym komputer?
Dokumenty office, pliki JPG które nie można otworzyć nie są już do uratowania?
Odpowiedz
#64
Wiem że nie ma. Chociażby może być SecureAPlus, zobacz w innych działach. FRST to przeniósł do swojej kwarantanny. Z partycji systemowej usuń ten folder: C:\FRST
Odpowiedz
#65
Rozumiem że takie scanowanie spowoduje że będzie można normalnie korzystać z dysku zewnętrznego i systemu? Kopiowanie, przenoszenie na różne nośniki, partycję itd. bez obawy że coś przeniesie się na innym komputer?
Dokumenty office, pliki JPG które nie można otworzyć nie są już do uratowania?


(06.02.2020, 22:49)tachion napisał(a): Z partycji systemowej usuń ten folder: C:\FRST
Normalnie wyrzucić do kosza?
Odpowiedz
#66
Dokładnie nie jestem pewny czym to było zaszyfrowane, nie tylko jeden ransomware tak szyfruje a w większości nie ma deszyfratora. Też mnie zastanawia dlaczego tylko część była zakodowana. Tak wywal do kosza i z kosza usuń.

Po przeskanowaniu systemu można będzie z niego bezpiecznie korzystać. Dysk zewnętrzny można dodatkowo też zaszczepić w programie usbfix z opcji vaccination.
Odpowiedz
#67
Być może jakiś program zablokował już szkodnika albo użytkownik sam go jakoś nieświadomie wcześnij ubił, a reszta plików była dograna/stworzona podczas dalszego użytkowania...
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#68
Czy  z tego raportu po skanowaniu SecureAPlus coś stwarza zagrożenie, coś usunąć, kwarantanna, dodać dodać do wyjątków itp?
Przeskanowałem także multiskanerem Hitman Pro - wynik był taki sam.

(06.02.2020, 08:39)Fix00ser napisał(a): ale w niektórych BIOSACH wymagane jest również dodatkowo ustawienie hasła

A jak teraz usunąć hasło, bo za każdym razem się włącza przy uruchamianiu. Wiem że w stacjonarnych wystarczy wyjęcie baterii ale tu jest laptop. Coś jeszcze robi się z zworkami.

Edit.
Bootowanie rozwiązane. Trochę banalne. Zamiast używać strzałek do zmieniania, używa się tam +\-.


Załączone pliki Miniatury
   
Odpowiedz
#69
Jeśli znasz hasło to wchodzisz do BIOS i w zakładce Security zmieniasz hasło na puste podając w odpowiedniej linijce stare hasło,
jeśli jednak nie znasz to wróżę strome schody.
Powyższy listing zainfekowanych plików dał rezultat fs dla sqlite3 dll, ten folder w głównym katalogu na C:\FRST i jego zawartość kolega @tachion polecił już usunąć
reszta plików z listingu to wg mnie złośliwy kod jednak należy dla pewności potraktować również innymi silnikami do skanowania
Odpowiedz
#70
Nie wiem jak zadziałał ten konkretny ransomware, ale generalna większość usuwa się z dysku po zakończeniu operacji szyfrowania i jedyny ślad jaki pozostaje to strona o okupie do zapłacenia plus skojarzone z nią pliki oraz ewentualnie pusty .exe po oprogramowaniu. Warunki do szyfrowania tych a nie innych plików są różne - typ pliku, jego wielkość, inne widzimisię autora tego szajsu.
Odpowiedz
#71
Nie koniecznie są takie co szyfrują do oporu jak tylko coś nowego sie pojawi...
ale fakt tago szajsu jest sporo.. ogólnie to jak chodzi o ransomware to jest pikuś ... bo wystarczy mieć kopie ale.. skoro ransomware sieje największe spustoszenie ostatnimi laty to tylko pokazuje patologie i to nie chodzi tylko u użytkowników domowych, ale i o firmy i ich podejście względem tworzenia kopi bezpieczeństwa....

.... 0
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#72
(07.02.2020, 12:43)Fix00ser napisał(a): Jeśli znasz hasło to wchodzisz do BIOS i w zakładce Security zmieniasz hasło na puste podając w odpowiedniej linijce stare hasło,
Dzięki. Hasło wprowadziłem czytając poradnik którego link mi podałeś, więc pamiętałem.  Człowiek całe życie się uczy. Wszystko gra.

Przeskanowałem jeszcze proponowanym Kasperskim przez bootowany pendrive. Wynik  prawie ten sam, doszedł jakiś jeden ściągnięty plik który wyrzuciłem do kosza (ostatnia pozycja na załączniku). Więc myślę że nie ma potrzeby skanowania kolejnym programem kiedy  wyniki są takie same. 

Rozumiem że pliki które się nie otwierają są do wywalenia?

Wszystko z dysku C przeniosłem do D i można instalować nowy system? 

Mogę już koleżance powiedzieć, że  już nie musi bać się korzystać  z tego laptopa i  zewnętrznego dysku? Korzystać może za bardzo nie korzysta, tylko sporadycznie, bo stary laptop, ale żeby dane mogła przynajmniej odzyskać bez narażania się na infekcję kolejnych sprzętów. 

Wielkie Dzięki Chłopaki za pomoc.


Załączone pliki Miniatury
   
Odpowiedz
#73
Profilaktycznie możesz koleżance zaproponować dodatkową lekką ochronę dla nośników mobilnych wpinanych do USB
MC Shield opis w tym wątku
https://safegroup.pl/thread-7843.html
co prawda soft już nie rozwijany ale swoje wykonuje bez zarzutu,
na jednym z moich starszych lapków na którym mam Sevena wielokrotnie blokował i usuwał z obcych nośników infekcje.
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości