Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

dopady zavirovaného souboru a jejich řešení

Máte problém s virem? Vložte sem log z FRST nebo RSIT.

Moderátor: Moderátoři

Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]

Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.

!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Odpovědět
Zpráva
Autor
altrok
Moderátor
Moderátor
Příspěvky: 7264
Registrován: 15 lis 2012 22:26
Bydliště: Znojmo

Re: dopady zavirovaného souboru a jejich řešení

#16 Příspěvek od altrok »

Ahoj,
domena discover.miidjourney.org je jiz offline. Ke vzorku jsem se jeste stihl dostat, zbezne jsem ho analyzoval, ale zatim se mi nepodarilo zjistit, co presne dela (predpokladam, ze krade credentials/sessiony, protoze takhle vetsina typosquatting utoku funguje). Mozna se k detailnejsi analyze jeste dostanu pozdeji... mozna...

Myslim si, ze to byla jednorazovka - ukradni informace a smaz se (v logach nevidim persistenci).
Kdyz beru informace z logu:
Nelibi se mi doplnek v Chromu... znas ho? Projdi si doplnky/rozsireni i v ostatnich browserech.

Kód: Vybrat vše

CHR Extension: (HTnini) - C:\Users\lukas.000\AppData\Local\Google\Chrome\User Data\Default\Extensions\nenflolfcmpfejdelljajnleghondpoa [2024-01-11]
Dale:

Kód: Vybrat vše

==================== One month (created) (Whitelisted) =========

2024-01-13 02:18 - 2024-01-13 02:18 - 000000000 ____D C:\Users\lukas.000\AppData\Local\mimi_os
2024-01-13 02:18 - 2024-01-13 02:18 - 000000000 ____D C:\Users\lukas.000\AppData\Local\Mimi
2024-01-13 02:17 - 2024-01-13 02:17 - 000000000 ____D C:\Users\lukas.000\AppData\Local\electron_os

==================== One month (modified) ==================

2024-01-13 02:18 - 2020-11-04 19:46 - 000000000 ____D C:\Users\lukas.000
Zkus jen tak ze zvedavosti projet disk C: napr. Recuvou nad C:\Users\lukas.000 a hledej soubory/slozky:
C:\Users\lukas.000\readme.txt
C:\Users\lukas.000\AppData\Local\electron_os
C:\Users\lukas.000\AppData\Local\Mimi
C:\Users\lukas.000\AppData\Local\mimi_os
- tady by mohla byt cast informaci.

V jedne z poslednich fazi utoku totiz utocnik smaze vse, co pouzival (slozka C:\Users\lukas.000\AppData\Local\electron_os je mountnuta jako virtualni disk - pomoci Alternate Data Streamu C:\Users\lukas.000\readme.txt:disk.vhd) a obsah nahradi notepadem.

Kód: Vybrat vše

    Remove-Item -Path "$env:USERPROFILE\AppData\Local\electron_os" -Recurse -Force | Out-Null
    New-Item -ItemType Directory -Path "$env:USERPROFILE\AppData\Local\electron_os" -Force | Out-Null

    Copy-Item -Path "C:\Windows\notepad.exe" -Destination "$env:USERPROFILE\AppData\Local\electron_os"
Dej nove logy FRST.

Dotaz pod carou - kdyz jsi navstivil tuto podvodnou domenu pres google ads, mel jsi zapnuty nejaky blokator reklam?
Pokud je cokoliv nejasného, ihned se ptej.
V případě spokojenosti prosím podpořte forum.
Pro dotazy, které se nehodí na forum, je možné využít altrokzavináčforum.viry.cz
Máš-li chuť pomáhat návštěvníkům tohoto fora, přihlas se do naší školičky.
Nahoru
Odpovědět

Zpět na „Řešení problémů, logy“