wirus z chomika który zawiesił mi Windows Defendera
#1
Witam. Szukałem pewnego starego programu.
Znalazłem na chomikuj, ale okazało się ze zawirusowany.
Na VirusTotal był to pierwszy upload tego pliku, plik jest pelen trojanów.

[Aby zobaczyć linki, zarejestruj się tutaj]


Oczywiście wcale go nie uruchamiałem ale system (Win10) się zawiesił
podczas próby przeskanowania folderu download Defenderem.
Co ciekawe Defender wcale tego pliku od razu nie usuwał, tak jak usunął mi instalki z pendrive'a,
które wcale były tylko potencjalnie niechciane (czy jak tam to zwą).
Obecnie skanuje system antywirusami z live USB
Wgrywam plik

[Aby zobaczyć linki, zarejestruj się tutaj]

(niestety nie mogę wgrać tutaj ze wzgl na limit MB) mógłbym prosić aby ktoś to sprawdził, co to za szajs, czy moglem zostać zainfekowany poprzez jakiś atak na Defendera?

Ja to chyba przypadkiem uruchomiłem spod Hirensa live Wall Craze
bo wcisnąłem Shift+Delete potem enter ale plik się nie usunął  ( za słabo wcisnąłęm delete i wyczuło tylko potem Enter)
i zaraz  coś mignęło.
Natychmiast wyrwałem  wtyczkę od internetu i zresetowałem.
Uruchomiłem Linuxa ( mam dual-boot zrobiony na wszelki wypadek   )
i udało mi się uruchomić skaner Eset Online Scanner spod Linuxa poprzez program zwany Bottles Cool )
I teraz łącznie skanuję dysk Windowsa + pendrive, bo jeszcze mam HDD z ważnymi danymi, który na szczęcie podczas uruchomienia tego świństwa był odłączony w menadżerze dysków. Tam dodałem do skanowania tylko foldery System Volume Information.
Odpowiedz
#2
Korzystając z maszyny wirtualnej udało mi się wydobyć plik chyba z właściwym wirusem system.exe, który "powstał"
w katalogu temp. On był spakowany w fałszywym pliku "explorer.exe" razem z jakimś gifem po rusku. Oba te pliki
się rozpakowały do katalogu C:\Java z C:\programData\Build.exe który się wypakował z chyba zaszyfrowanego pliku exe siedzącego w pliku fałszywego instalatora. Do autostartu zostały dodane wpisy uruchamiające plik system.exe z katalogu temp

I moje pytanie brzmi:
skoro przypadkiem uruchomiłem wirusa z Hirensa, i on się wypakował do temp który był chyba na ramdisku Hirensa
(rozpakowywało się najpierw na właściwy dysk C) i pewnie wpisy autostartu zostały dodane do systemu Live.
To w końcu właściwy wirus wcale się nie uruchomił i nie zainfekował mi Windowsa?

Skanowałem kilkoma antywirusami i nic nie wykryły.
Czy powinienem zrobić reinstalkę? Bo strasznie mi się nie chce None

Nie widzę żadnych niepokojących oznak poza tym że Windows Defender wszystko spowalnia i zawiesza (ale tak było od początku mojej przygody z tym systemem)

Czy LiveUSB mi się nie zainfekowało? Bo w końcu to chyba tylko było do Ramu ładowane.


Załączone pliki
.zip   virus_system_exe_haslo_123.zip (Rozmiar: 245,56 KB / Pobrań: 31)
Odpowiedz
#3
Zarzuć logi z FRST a Tachion pomoże Smile
Odpowiedz
#4
Z LiveUSB mogło by też zainfekować realny system czy dane na partycjach, wszystko zależy od tego z jakim zagrożeniem się borykamy. Z wykryć widzę że to Bitcoinminer, tak więc mało inwazyjny, ale nie zaszkodzi zrobienie skanu FRST

Jakim ogólnie oprogramowaniem skanowałeś już ?
Odpowiedz
#5
Dobra, jednak reinstalowałem system na wszelki wypadek, cały wczorajszy dzień zmarnowany, bo ja lubię mieć wszystko po swojemu skonfigurowane  Grin

A tak w ogóle to na chomikuj strasznie dużo jest wirusów tzn jeśli chodzi o programy/gry
(tzn. głównie są to instalatory udające dany program, bo czasem się wygrzebie coś wiarygodnego)
Bo sama strona jest chyba jedną z czystszych polskich stron
( porównajcie sobie ile blokuje ublock na chomikuj a ile np. np olx )
Odpowiedz
#6
jak chodzi o piractwo to jedynie co jest bezpieczne to szukanie klucza do programu i pobranie instalatora bezpośrednio ze strony producenta.
Uruchamianie wszelkich wykonywalnych programów z obcego źródła to proszenie sie o kłopoty.

Nie rozumiem czemu akurat na siłe chcesz piracką wersje i to na dodatek Starą do partycjonowania dysku.
Darmowych programów do partycjonowania dysków jest od zawalenia a większość z nich w zupełności się nadaje.

Polecam m.in. Paragon w wersji FREE

[Aby zobaczyć linki, zarejestruj się tutaj]

Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości