Wirus na partycji rozruchowej systemu?
#1
Witam. Przypadkiem (korzystając z Linuxa USB) odkryłem podejrzany plik w partycji boot Windowsa 7.
Plik ma nazwę KWEGD bez rozszerzenia.
Sha256: a199cb65b19f2385f9afa97622d78fb7d0f2d5f8018c5de96b0df50c5bc39655

Virustotal wykrywa to jako DOS executable (COM) ale bez zagrożeń.

[Aby zobaczyć linki, zarejestruj się tutaj]



Za to wyniki z hybrid analysis są ciekawe: (łącznie z plikiem bootmgr)

[Aby zobaczyć linki, zarejestruj się tutaj]



Co to może być? Coś groźnego? Co powinienem teraz zrobić (system świeży, koło miesiąca czasu po reinstalacji)

Napisałem też tutaj: 

[Aby zobaczyć linki, zarejestruj się tutaj]



Czy mogę tu na forum wstawić zipa z podejrzanymi plikami?
Odpowiedz
#2
Daj logi z FRST jak jest w regulaminie napisane..
a próbki do działu malware..

Do infekcji może dojść w każdym momencie szczególnie jak masz jakieś inne urządzenie w sieci z którym komputer łączy sie lub instalujesz z powrotem jakieś zainfekowane programy lub podłączasz stary dysk zainfekowany,
w ten sposób możesz być wiecznie zainfekowany niezależnie ile razy byś formatował system - takie błędne koło.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#3
Myślę że problem rozwiązany trochę spanikowałem i że to wcale nie był wirus. W tych wynikach na hybrid analyse było coś takiego jak "interesting strings" znaleziony w tym podejrzanym pliku. I między innymi były tam jakieś teksty dotyczące GRUB4DOS
I to mi przypomniało że niedawno wgrywałem na próbę system Q4OS poprzez instalator Windowsowy, który dodawał Linuxa do menu rozruchu Windowsa. Być może to była tylko jakaś pozostałość.
W każdym razie usunąłem partycję rozruchową Windowsa i przywróciłem ją dyskiem instalacyjnym.
Ale na wszelki wypadek zrobiłem ten skan skoro tak nakazuje regulamin.
FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

Additions

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#4
Narzędzia do naprawy lub usuwania z nośnika pozostałości po loaderze GRUB

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#5
Ok. Dzięki. Dobrze wiedzie na przyszłość gdyby zachciało mi się znów experymentować z Linuxami to chyba tylko standardową instalacją z płyty/USB. Poza tym ten Boot-Repair-Disk wygląda... przydatnie. Ale poradziłem sobie już z obecnym problemem pomocą płyty instalacyjnej Windowsa.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości