Naathim

Świeży niusik znaleziony dzisiaj (z ukłonami dla Essexboya). Artykuł po angielsku do poczytania: Get out of jail free card for Cryptolocker victims I link do decryptora. DeCryptoLocker Jestem ciekaw czy działa. Nie ma ktoś CryptoLockera pod ręką? EDIT:: NeonFx, jeden z ekspertów na GeeksToGo potwierdził właśnie tą informację. Pliki zaszyfrowane CryptoLockerem zostały odszyfrowane. CriLock został pokonany!

Jeśli masz zainstalowanego Avasta, to Windows Defender z automatu się wyłączył, aby nie było konfliktu interesów.

Obstawiałbym, że jest to jakiś wariant Win32.Kazy, ale głowy nie dam.

Gratulacje! Wielkie, ogromne. I zasłużone!

Great news! Thanks for sharing, Luuk.

Pliki wykonywalne skypa i thebata na wszelki wypadek wrzuć na virscan.org albo na virustotal.com dla pewności, bo jeśli jakieś sality jeszcze zostało w systemie, to cała ta dyskusja nie ma sensu.

Przehostuj ten raport do wglądu na jakimś dropboxie albo gdzieś.

Ramnit to chyba drugie "najsmaczniejsze" zagrożenie po Virucie, a w 90% przypadków kończy się śmiercią systemu. Jeden z ekspertów G2G, Ron, mówi o tym wprost: KLIK. Ja osobiście w ramach profilaktyki USBki po przejściu przez lewe komputery zawsze najpierw wsadzam do wirtualki albo pod linuksa.

Temat wygląda na wirusowy, to po pierwsze, zatem raportuję do przeniesienia do odpowiedniego działu. Po drugie, to mam nadzieję że ComboFix Ci smakował, skoro tak chętnie go pożarłeś. Pokaż jego raport. Rzuć też okiem tutaj i dorzuć do interesu jeszcze FRST (x64). I jakbyś odgrzebał gdzieś raport z tej Pandy to też by było miło.

Nie, są następne w kolejce jak skończę uczyć kuchenkę mikrofalową i paprykę konserwową w kredensie A tak na serio: jestem już po półmetku GeekU i mam nadzieję, że na wiosnę uda mi się kurs zakończyć

Istnieją anglojęzyczne fora internetowe, gdzie można ukończyć specjalne kursy na temat analizy logów i poznania narzędzi, jakimi "pomagacze" się posługują. Warunki potrzebne do przyjęcia do takiej szkoły to: -> fluent English - wszystko odbywa się po angielsku -> znajomość systemu operacyjnego Niesamowicie osób twierdzi że jest "zaawansowanymi użytkownikami" windowsa, a tak naprawdę nie wie nic o samym systemie. Wiadomo, że nie chodzi o to żeby umieć wyliczyć wszystkie pliki systemowe, tylko o to, żeby rozumieć gdzie są ładowane i za co odpowiadają. Trzeba wiedzieć czym jest rejestr windowsa, znać matematykę binarną i heksadecymalną. I wcale nie trzeba być piątkowym uczniem informatyki. Ważne żebyć rozumiał. a nie nauczył się że istnieje taki plik czy taka wartość w rejestrze! Wszystkiego można się nauczyć - tylko trzeba chcieć się uczyć. Na żadnym z forów (a jestem obecny na tych największych) nie ma zajęć sensu stricte: materiał opanowujesz sam, a nauczyciele sprawdzają i oeniają czy jesteś przygotowany odpowiednio i czy osiągnąłeś poziom wystarczający aby pomagać innym. Ukończenie takiego kursu zajmuje średnio około półtora roku. Niestety kursy te są dość oblegane i jest kolejka ludzi oczekujących do przyjęcia na nie. Autorzy tych narzędzi (OTL, FRST, ComboFix i inne) w konkretnym celu umieścili w logu pewne dane. Wszystko co się tam znajduje musi być przeanalizowane. Osoba, która zna sam system i jego budowę, po pierwszym rzucie oka wie co jest grane (mniej więcej). Szybko to się można nauczyć jak zrobić komuś z peceta duży i kosztowny przycisk do papieru. I będzie powtórka ze słynnego HJT, gdzie ludzie masowo analizowali logi automatem, a potem oprogramowanie nie działało i systemy sypały BSODami. Aktualnie żadne z narzędzi nie posiada autoanalizera i żaden z twórców narzędzi nie jest skłonny do produkcji takowego. Byleby po przeglądnięciu nie dotrzeć do wniosku, że wie się już wszystko i pójdzie logi sprawdzać. Bo do innych narzędzi nie ma tutoriali i co daj boże jak ktoś da jakiegoś innego loga? Poza tym OTL od jakiegoś czasu nie jest rozwijany. OldTimer, zapytany o tą sprawę w przypadku infekcji ZeroAccess powiedział wprost: "Unfortunately there will be no further updates to the public version of OTL.", a uzasadnił to tym, że są narzędzia które na współczesne warunki sprawdzają się lepiej w przypadku pewnych infekcji. Aczkolwiek społeczność ciągle molestuje o to OldTimera Z takim nastawieniem nie sprawdzaj logów. Sam rzut oka na to, czy nazwa pliku nie jest randomowa to nie jest "sprawdzenie loga". Bo nie daj Boże infekcja za chwilę zmieni swój charakter i co wtedy? Plus pisać się naucz albo chociaż zainstaluj wtyczkę co błędy pokreśla. Na koniec jeszcze jedna refleksja: Sama znajomość tutoriala do OTLa nie wystarcza też. Bo co zrobić, kiedy w OTLu znajdzie się jakiś dziwny wpis, którego w tutorialu nie uwzględniono, a który jest wynikiem jakiejś interakcji z innym programem albo usterki? Zostawić uzytkownika z rozgrzebanym systemem? Powiedzieć: "nie wiedziałem, sorry"? Oprócz tego jeszcze jedna informacja: nawet te opublikowane tutoriale są bardzo okrojone. Ich pełne wersje, zgodnie z życzeniami autorów, nie są publiczne i nie będą. Opublikowanie takiego czegoś do wglądu dla każdego stworzyłoby uczucie: "przeczytałem to wiem już wszystko i będę logi sprawdzał". Uwierzcie, po przeczytaniu tutoriala to można być pewnym jedynie tego, że wydaje się że się wie co i jak robi narzędzie.

Z tego co rozmawiałem ostatnio z zaprzyjaźnionym developerem z Emsisoft to pracują nad odszyfrowaniem CryptoLockera, aczkolwiek idzie im to mozolnie...

FRST nie wspiera tego systemu i nie pójdzie na nim. Jest to oficjalne info od Farbara. Ale można chyba spróbować odpalić FRST ze środowiska zewnętrznego. Ta procedura działa na systemie XP.

Witaj Picasso Potrzebuję konsultacji w jednej sprawie. Netbook Samsung, Windows 7 Starter x86. Otóż w ramach pracy badawczej robiłem sobie różne skany i raporty, żeby parę rzeczy porównać w logach i ni z tego ni z owego coś przyciągnęło moją uwagę. Z raportów wyszło mi że mam rootkita w MBR ( ), ale wcale nie jestem o tym w 100% przekonany. Ano popatrz: Najpierw (stąd się w ogóle to wzięło) mamy stary log z Gmera: GMER.txt MBRcheck mówi tak: MBRCheck_08.21.13_12.18.06.txt No to jedziem mbr.exe (chociaż to trochę stare narzędzie, ale jeśli wierzyć zapisom to Mebratix jest starą infekcją ): mbr.txt Bierzem sobie TDSSKillera więc na tapetę: TDSSKiller.2.8.16.0_21.08.2013_12.26.18_log.txt No i na koniec najciekawsze - narzędzie MBRScan. (celowo umieszczam go w spoilerze ze względu na znaczniki) Interesuje mnie co Ty o tym myślisz

Wypróbuj tego: KLIK

Jeżeli dużo programów się crashuje, to nie jest to dobry znak. Spróbuj te crashujące się pliki *.exe (przynajmniej kilka z nich, tak z 10) wziąć i przeskanować na stronie www.virusscan.jotti.org albo na www.virscan.org. Jeśli przy próbie skanu któregoś będzie komunikat że został już przeskanowany, daj żeby skanował podobnie. Wróć z wynikami tych skanów.

Bo zamiast normalnego shella to tutaj jest wstawione takie coś: O20 - HKLM Winlogon: Shell - (JERZY.exe) - C:\WINDOWS\JERZY.exe (Microsoft Corporation) no i trochę adware. Dorzucić raport z Gmera:https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/ I temat wyjeżdża do działu infekcji.

Pobrać SystemLook stąd Uruchomić, w oknie programu wklepać zawartość ramki: :filefind hal.dllKliknąć Look Na pulpicie powstanie raport (zostanie automatycznie otwarty). Załączyć go do posta.

Nie wiem na ile to się sprawdzi, ale w GMailu jest opcja przyznawania limitowanego dostępu do konta. To znaczy: zakładasz jedno konto na GMailu, o adresie nazwa1@gmail.com. To podajesz jako e-mail obowiązujący, gdzie będą materiały. Następnie zakładasz konto nazwa2@gmail.com, któremu przyznajesz limitowany dostęp do konta nazwa1 (jest to gdzieś w ustawieniach). Teraz użytkownicy logując się na nazwa2 mają możliwość podejrzenia i przeczytania tego co jest na nazwa1, ale nie mogą nic zrobić z tymi wiadomościami - ani ich usunąć, ani modyfikować. Mogą tylko czytać i przeglądać. P.S. Nie lepiej po prostu zrobić jakąś grupę dyskusyjną?

Jedna rzecz mnie zastanawia. Piszesz, że sterownika "nie ma". Nie ma fizycznie pliku ze sterownikiem, czy zwyczajnie jego usługa nie jest uruchomiona? Spróbuj zrobić tak: Weź na przykład jakiegoś driver sweepera albo coś. Odinstaluj całkowicie wszystko co związane z tą kartą graficzną, reset i zainstaluj ze strony producenta to, co nowe. Zaraz po instalacji podejrzyj np., w autoruns jak wygląda usługa tego sterownika, jak jest uruchamiana. Reset. Po resecie znowu podejrzyj autoruns i powiedz czy usługa jest i czy jest korespondujący do niej plik. P.S. Może byś jednak napisał o jakiej karcie graficznej w ogóle rozmawiamy?

Mam dziwne wrażenie, że takie trzy piknięcia świadczą o jakimś problemie z pamięcią RAM. Zrób test pamięci Memtestem https://www.fixitpc.pl/topic/6006-jak-przetestowac-pamiec-za-pomoca-memtest86/. Testuj każdą kość pamięci z osobna, najlepiej przez kilka godzin każdą. Powiedz jak efekty tych testów.

To pozostałość po jakimś śmieciu. Rzuć okiem https://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/?do=findComment&comment=324 i pokaż raport z OTL, jak zobaczymy gdzie jest to się go wywali. Plus może by tak się przesiąć z IE na jakąś mniej dziurawą przeglądarkę?

Infekcja widoczna gołym okiem. Nie działają opcje folderów bo jest nałożona na nie polisa: O7 - HKU\S-1-5-21-854245398-484763869-1801674531-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKU\S-1-5-21-854245398-484763869-1801674531-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 Dorzuć jeszcze GMERa jeśli się da: KLIK, pamiętając o usunięciu działającego sterownika STPD. Temat raportuję do przeniesienia do Malware. Co do widoczności plików ukrytych - OTL sam je przestawia, na koniec po sprzątaniu wrócą do stanu pierwotnego

Ja też mam coś alternatywnego. Myślę, że miłośnikom "mocniejszych" brzmień może się spodobać http://www.youtube.com/watch?v=brA_oAb6a9I

Samozrastające się dętki hitem sezonu 2013