+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html)
+--- Wątek: Wirus na partycji rozruchowej systemu? (/thread-12528.html)
Wirus na partycji rozruchowej systemu? - Hohoho - 01.06.2023
Witam. Przypadkiem (korzystając z Linuxa USB) odkryłem podejrzany plik w partycji boot Windowsa 7.
Plik ma nazwę KWEGD bez rozszerzenia.
Sha256: a199cb65b19f2385f9afa97622d78fb7d0f2d5f8018c5de96b0df50c5bc39655
Virustotal wykrywa to jako DOS executable (COM) ale bez zagrożeń.
[Aby zobaczyć linki, zarejestruj się tutaj]
Za to wyniki z hybrid analysis są ciekawe: (łącznie z plikiem bootmgr)
[Aby zobaczyć linki, zarejestruj się tutaj]
Co to może być? Coś groźnego? Co powinienem teraz zrobić (system świeży, koło miesiąca czasu po reinstalacji)
Napisałem też tutaj:
[Aby zobaczyć linki, zarejestruj się tutaj]
Czy mogę tu na forum wstawić zipa z podejrzanymi plikami?
RE: Wirus na partycji rozruchowej systemu? - Quassar - 02.06.2023
Daj logi z FRST jak jest w regulaminie napisane..
a próbki do działu malware..
Do infekcji może dojść w każdym momencie szczególnie jak masz jakieś inne urządzenie w sieci z którym komputer łączy sie lub instalujesz z powrotem jakieś zainfekowane programy lub podłączasz stary dysk zainfekowany,
w ten sposób możesz być wiecznie zainfekowany niezależnie ile razy byś formatował system - takie błędne koło.
RE: Wirus na partycji rozruchowej systemu? - Hohoho - 02.06.2023
Myślę że problem rozwiązany trochę spanikowałem i że to wcale nie był wirus. W tych wynikach na hybrid analyse było coś takiego jak "interesting strings" znaleziony w tym podejrzanym pliku. I między innymi były tam jakieś teksty dotyczące GRUB4DOS
I to mi przypomniało że niedawno wgrywałem na próbę system Q4OS poprzez instalator Windowsowy, który dodawał Linuxa do menu rozruchu Windowsa. Być może to była tylko jakaś pozostałość.
W każdym razie usunąłem partycję rozruchową Windowsa i przywróciłem ją dyskiem instalacyjnym.
Ale na wszelki wypadek zrobiłem ten skan skoro tak nakazuje regulamin.
FRST:
[Aby zobaczyć linki, zarejestruj się tutaj]
Additions[Aby zobaczyć linki, zarejestruj się tutaj]
RE: Wirus na partycji rozruchowej systemu? - Fix00ser - 04.06.2023
Narzędzia do naprawy lub usuwania z nośnika pozostałości po loaderze GRUB
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
RE: Wirus na partycji rozruchowej systemu? - Hohoho - 04.06.2023
Ok. Dzięki. Dobrze wiedzie na przyszłość gdyby zachciało mi się znów experymentować z Linuxami to chyba tylko standardową instalacją z płyty/USB. Poza tym ten Boot-Repair-Disk wygląda... przydatnie. Ale poradziłem sobie już z obecnym problemem pomocą płyty instalacyjnej Windowsa.