Zdravím. Nevím, kam to zařadit (kdyžtak lze přesunout do odpovídající kategorie), ale potřeboval bych vědět, kam mám poslat výpis z paměti pro analýzu potencionálního malware. Nedávno jsem zde řešil automatické psaní. Počítač vyčištěn, ale za týden se to dělo opět. Zjistil jsem, že v systémové složce je soubor 'logman.exe' - tváří se jako oficiální součást systému (autorem Microsoft Corporation, součást produktu Microsoft Windows), ale postrádá digitální podpis, který by měly mít všechny systémové komponenty.
https://www.virustotal.com/gui/file/cda ... /detection
Vytvořil jsem programem Process Explorer (SysInternal Tools od Microsoftu) dump z paměti a uložil do souboru 'logman.dmp' - je to binární soubor. Nezdá se, že by se jednalo o spustitelný soubor, ale nechci to ponechat náhodě. Kam nebo komu mám tedy zaslat výpis z paměti procesu 'logman.exe'?
Proces byl spuštěn s argumenty příkazového řádku logman start "spacedesk_log" (SpaceDesk je program umožňující připojení tabletu jako sekundární obrazovky - stejně nefungoval a před chvílí jsem ho odinstaloval - stejně proces znovu běží). Viz screenshot v příloze:
Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz
Kam mohu poslat dump z paměti pro analýzu potencionálního malwaru?
Moderátor: Moderátoři
- Polda18
- Návštěvník
- Příspěvky: 170
- Registrován: 21 črc 2014 15:48
- Bydliště: Česká republika - sever
- Kontaktovat uživatele:
Kam mohu poslat dump z paměti pro analýzu potencionálního malwaru?
„Až ti bude v životě nejhůř, otoč se ke slunci a všechny stíny padnou za tebe.“ - John Lennon
Re: Kam mohu poslat dump z paměti pro analýzu potencionálního malwaru?
Ahoj,
imho, soubor, potažmo jeho proces je podezřelý https://www.joesandbox.com/analysis/319946/0/html
není podepsaný, obsahuje timestampu roku 2094, hodně API, které vůbec nevolá, obsahuje anti-debug funkce, jinak (v idle) neukazuje žádnou vysokou aktivitu (alespoň v použitém sandboxu)
dump do raru/zipu a kamkoliv... ulozto, leteckaposta, tvuj onedrive/dropbox...
pokud proces většinu času spí, těžko říct, jestli z něj něco dokážeme vyčíst
imho, soubor, potažmo jeho proces je podezřelý https://www.joesandbox.com/analysis/319946/0/html
není podepsaný, obsahuje timestampu roku 2094, hodně API, které vůbec nevolá, obsahuje anti-debug funkce, jinak (v idle) neukazuje žádnou vysokou aktivitu (alespoň v použitém sandboxu)
dump do raru/zipu a kamkoliv... ulozto, leteckaposta, tvuj onedrive/dropbox...
pokud proces většinu času spí, těžko říct, jestli z něj něco dokážeme vyčíst
Pokud je cokoliv nejasného, ihned se ptej.
V případě spokojenosti prosím podpořte forum.
Pro dotazy, které se nehodí na forum, je možné využít altrokzavináčforum.viry.cz
Máš-li chuť pomáhat návštěvníkům tohoto fora, přihlas se do naší školičky.
V případě spokojenosti prosím podpořte forum.
Pro dotazy, které se nehodí na forum, je možné využít altrokzavináčforum.viry.cz
Máš-li chuť pomáhat návštěvníkům tohoto fora, přihlas se do naší školičky.
- Polda18
- Návštěvník
- Příspěvky: 170
- Registrován: 21 črc 2014 15:48
- Bydliště: Česká republika - sever
- Kontaktovat uživatele:
Re: Kam mohu poslat dump z paměti pro analýzu potencionálního malwaru?
Sem do přílohy dump přidat nelze, protože je příliš velký. Nahrál jsem na Leteckou Poštu: http://leteckaposta.cz/577112544
Dovolím si jen malou poznámku - po odinstalaci programu SpaceDesk (a po restartování počítače) již proces neběží.
Dovolím si jen malou poznámku - po odinstalaci programu SpaceDesk (a po restartování počítače) již proces neběží.
„Až ti bude v životě nejhůř, otoč se ke slunci a všechny stíny padnou za tebe.“ - John Lennon