+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html)
+--- Wątek: Zainfekowany zewnętrzny dysk HDD (/thread-12064.html)
RE: Zainfekowany zewnętrzny dysk HDD - morfeusz - 05.02.2020
Przykładowe obrazy JPG i jeden flac.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
RE: Zainfekowany zewnętrzny dysk HDD - Fix00ser - 05.02.2020
Profilaktycznie przeczesałbym jeszcze system w poszukiwaniu pliku "df696522.exe"
za pomocą systemlook
[Aby zobaczyć linki, zarejestruj się tutaj]
z opcji:filefind
RE: Zainfekowany zewnętrzny dysk HDD - tachion - 05.02.2020
Prześlij ten plik jako załącznik co się znajduje w temp a następnie usuń. Spakuj go nadając hasło infected.
RE: Zainfekowany zewnętrzny dysk HDD - morfeusz - 05.02.2020
(05.02.2020, 20:31)Fix00ser napisał(a):Chciałem pobrać na samym dole strony, ale downloand nie jest aktywny.[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
RE: Zainfekowany zewnętrzny dysk HDD - Fix00ser - 05.02.2020
Systemlook
[Aby zobaczyć linki, zarejestruj się tutaj]
wyizolowany plik df696522.exe można poddać analizie w wirtualnej maszynie za pomocąSysAnalyzer
[Aby zobaczyć linki, zarejestruj się tutaj]
RE: Zainfekowany zewnętrzny dysk HDD - tachion - 05.02.2020
Po hashu pliku nic z tego nie wynika, wygląda jakby był pusty
RE: Zainfekowany zewnętrzny dysk HDD - morfeusz - 05.02.2020
(05.02.2020, 20:51)tachion napisał(a):Nie rozumiem, jaki plik? Raport programem systemlook?[Aby zobaczyć linki, zarejestruj się tutaj]
Prześlij ten plik jako załącznik co się znajduje w temp a następnie usuń. Spakuj go nadając hasło infected.
Tak ma wyglądać interfejs systemlook? Nie widzę opcji ":filefind", tylko samo "look"
RE: Zainfekowany zewnętrzny dysk HDD - tachion - 05.02.2020
Nie musisz używać systemlook, wystarczy sam frst
Prześlij plik z tej lokalizacji C:\Users\Admin\AppData\Local\Temp\df696522.exe
RE: Zainfekowany zewnętrzny dysk HDD - morfeusz - 05.02.2020
Nie mogę przesłać. Pokazuje się informacja że plik jest pusty.
Edit. Ok, chyba zrozumiałem. W systemlook po komendzie :filefind pod spodem umieściłem nazwę tego pliku. Wyniki w załączniku.
RE: Zainfekowany zewnętrzny dysk HDD - Fix00ser - 05.02.2020
Thx za listing, rezultat ścieżek taki sam jak z frst.
tylko że waga pliku wynosi null czyli 0
Intuicja mi podpowiada by jednak dobrać się do tego intruza pozasystemowo, jak proponowałem w pierwszym moim poście, ale ten dział to królestwo kolegi @tachion
i nie chcę za bardzo specjaliście mieszać w tym wątku, ale prawdopodobnie na tych nosnikach istnieją fragmenty kodu które przemawiają za tym że brał w tym udział
kod typu ransomware i raczej wg mnie nie ma możliwości by odzyskać pliki które były zmienione/zaszyfrowane przez infekcję tego intruza.
RE: Zainfekowany zewnętrzny dysk HDD - tachion - 05.02.2020
To dodaj tą ścieżkę co podałem do frst klik napraw , program to powinien usunąć. Z VT wynika że i tak analiza nic nie wniesie. Sprawdź po tym czy plik nadal się znajduje w tej lokalizacji. Następnie jak proponowali wcześniej wykonaj skanowanie (programem najlepiej wielosilnikowym) całego systemu wraz z dyskiem zewnętrznym.
RE: Zainfekowany zewnętrzny dysk HDD - morfeusz - 05.02.2020
Zrobiłem także skan SysAnalyze,r ale nie wiem jak wysłać raport. Jest tu wiele opcji załączników tego raportu.
(05.02.2020, 22:05)Fix00ser napisał(a):Czyli bootowalnym Kasperskim?[Aby zobaczyć linki, zarejestruj się tutaj]
Intuicja mi podpowiada by jednak dobrać się do tego intruza pozasystemowo, jak proponowałem w pierwszym moim poście,
Co tak dokładnie zrobić? Wcześnie wszedłem z ciekawości, ale nie wiem jak tam się poruszać, co zrobić.
RE: Zainfekowany zewnętrzny dysk HDD - Fix00ser - 05.02.2020
[Aby zobaczyć linki, zarejestruj się tutaj]
wielosilnikowy scanner bootable UBCD4WIN[Aby zobaczyć linki, zarejestruj się tutaj]
Tylko dla przypomnieniaby importować pobrane lustro nosnika w formie obrazu iso na pena używaj rufusa
RE: Zainfekowany zewnętrzny dysk HDD - morfeusz - 05.02.2020
(05.02.2020, 22:30)tachion napisał(a):Narzędzie, czyli frst umieścić tak gdzie jest ten plik, bo woła że nie można uruchomić scanowania.[Aby zobaczyć linki, zarejestruj się tutaj]
To dodaj tą ścieżkę co podałem do frst klik napraw , program to powinien usunąć.
RE: Zainfekowany zewnętrzny dysk HDD - tachion - 06.02.2020
Obok FRST utwórz fixlist.txt i wklej: C:\Users\Admin\AppData\Local\Temp\df696522.exe potem klik napraw
RE: Zainfekowany zewnętrzny dysk HDD - morfeusz - 06.02.2020
W załączniki raport naprawy.
Nie mogę w biosie na laptopie koleżanki przestawić jako priorytet usb, aby odpalić pendrive. Klikam enterem aby zatwierdzić i nic się nie dzieje. W ogóle w zakładce boot nic nie można ruszyć. A przydałoby się laptop i dysk zewnętrzny przeskanować.
RE: Zainfekowany zewnętrzny dysk HDD - Fix00ser - 06.02.2020
Czasami by cokolwiek zmienić w sekcji boot należy wyłączyć SecureBoot,
ale w niektórych BIOSACH wymagane jest również dodatkowo ustawienie hasła
[Aby zobaczyć linki, zarejestruj się tutaj]
RE: Zainfekowany zewnętrzny dysk HDD - morfeusz - 06.02.2020
(06.02.2020, 08:39)Fix00ser napisał(a):Niestety w tym laptopie (Toshiba Satellite A 105-S2111) nie ma dostępnego SecureBoot.[Aby zobaczyć linki, zarejestruj się tutaj]
Czasami by cokolwiek zmienić w sekcji boot należy wyłączyć SecureBoot,
ale w niektórych BIOSACH wymagane jest również dodatkowo ustawienie hasła
RE: Zainfekowany zewnętrzny dysk HDD - Fix00ser - 06.02.2020
Możliwe że przy uruchomieniu lapka z wpiętym penem menedżer szybkiego rozruchu [f-12] zaakceptuje wybór zmiany bootowania z pena
[Aby zobaczyć linki, zarejestruj się tutaj]
RE: Zainfekowany zewnętrzny dysk HDD - tachion - 06.02.2020
Tak jak poprzednio do notatnika wklej i wykonaj zawartość:
Kod:
CloseProcesses:
HKLM\...\RunOnce: [] => [X]
C:\Users\Admin\AppData\Roaming\AVG
C:\Program Files\AVG
C:\Users\Admin\AppData\Local\Avg
C:\ProgramData\Avg
C:\Users\Admin\AppData\Local\Temp\*