Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

Kam mohu poslat dump z paměti pro analýzu potencionálního malwaru?

To, co se nehodí jinam..

Moderátor: Moderátoři

Odpovědět
Zpráva
Autor
Uživatelský avatar
Polda18
Návštěvník
Návštěvník
Příspěvky: 170
Registrován: 21 črc 2014 15:48
Bydliště: Česká republika - sever
Kontaktovat uživatele:

Kam mohu poslat dump z paměti pro analýzu potencionálního malwaru?

#1 Příspěvek od Polda18 »

Zdravím. Nevím, kam to zařadit (kdyžtak lze přesunout do odpovídající kategorie), ale potřeboval bych vědět, kam mám poslat výpis z paměti pro analýzu potencionálního malware. Nedávno jsem zde řešil automatické psaní. Počítač vyčištěn, ale za týden se to dělo opět. Zjistil jsem, že v systémové složce je soubor 'logman.exe' - tváří se jako oficiální součást systému (autorem Microsoft Corporation, součást produktu Microsoft Windows), ale postrádá digitální podpis, který by měly mít všechny systémové komponenty.
https://www.virustotal.com/gui/file/cda ... /detection

Vytvořil jsem programem Process Explorer (SysInternal Tools od Microsoftu) dump z paměti a uložil do souboru 'logman.dmp' - je to binární soubor. Nezdá se, že by se jednalo o spustitelný soubor, ale nechci to ponechat náhodě. Kam nebo komu mám tedy zaslat výpis z paměti procesu 'logman.exe'?

Proces byl spuštěn s argumenty příkazového řádku logman start "spacedesk_log" (SpaceDesk je program umožňující připojení tabletu jako sekundární obrazovky - stejně nefungoval a před chvílí jsem ho odinstaloval - stejně proces znovu běží). Viz screenshot v příloze:
procexp.png
procexp.png (164.25 KiB) Zobrazeno 969 x
Až ti bude v životě nejhůř, otoč se ke slunci a všechny stíny padnou za tebe.“ - John Lennon

altrok
Moderátor
Moderátor
Příspěvky: 7257
Registrován: 15 lis 2012 22:26
Bydliště: Znojmo

Re: Kam mohu poslat dump z paměti pro analýzu potencionálního malwaru?

#2 Příspěvek od altrok »

Ahoj,

imho, soubor, potažmo jeho proces je podezřelý https://www.joesandbox.com/analysis/319946/0/html
není podepsaný, obsahuje timestampu roku 2094, hodně API, které vůbec nevolá, obsahuje anti-debug funkce, jinak (v idle) neukazuje žádnou vysokou aktivitu (alespoň v použitém sandboxu)

dump do raru/zipu a kamkoliv... ulozto, leteckaposta, tvuj onedrive/dropbox...

pokud proces většinu času spí, těžko říct, jestli z něj něco dokážeme vyčíst
Pokud je cokoliv nejasného, ihned se ptej.
V případě spokojenosti prosím podpořte forum.
Pro dotazy, které se nehodí na forum, je možné využít altrokzavináčforum.viry.cz
Máš-li chuť pomáhat návštěvníkům tohoto fora, přihlas se do naší školičky.

Uživatelský avatar
Polda18
Návštěvník
Návštěvník
Příspěvky: 170
Registrován: 21 črc 2014 15:48
Bydliště: Česká republika - sever
Kontaktovat uživatele:

Re: Kam mohu poslat dump z paměti pro analýzu potencionálního malwaru?

#3 Příspěvek od Polda18 »

Sem do přílohy dump přidat nelze, protože je příliš velký. Nahrál jsem na Leteckou Poštu: http://leteckaposta.cz/577112544

Dovolím si jen malou poznámku - po odinstalaci programu SpaceDesk (a po restartování počítače) již proces neběží.
Až ti bude v životě nejhůř, otoč se ke slunci a všechny stíny padnou za tebe.“ - John Lennon

Odpovědět