Показано с 1 по 6 из 6.

Взломали домашнюю сеть (заявка № 177415)

  1. #1
    Junior Member Репутация
    Регистрация
    11.02.2015
    Сообщений
    5
    Вес репутации
    7

    Взломали домашнюю сеть

    Вкратце ситуация такова:

    Дома есть 2 ПК. Пользуемся маршрутизатором D-Link DIR-300 по патчкорду. Также подключаемся к Wi-Fi с мобильных устройств. Админка там запаролена, wi-fi тоже. В конце декабря, сначала на первом ПК, а затем и на втором, появились странные баннеры на vk.com и google.com, а также просьбой отключить adblock. Форматнули все диски, переустановили винду, через неделю проблема объявилась снова.

    После этого мне подсказали, что возможно прописаны вредоносные DNS на маршрутизаторе. Так как я не знал, как это проверить, тупо сбросил настройки роутера. Прошло две недели, и вчера утром, запустившись нормально с третьего раза, второй ПК выдал мне в автозапуске Citrix Receiver(который не мог быть поставлен на него без моего ведома,) с датой установки 29.12 (в день переустановки винды), и там же какие-то левые команды типа открытия через cmd сайта "Ленивый геймер".

    За время всех данных событий, на обоих компах стояли NOD 32, Avast и CCleaner. Несколько раз проводились проверки. Думаю, что с компами нужно что-то делать. Моих знаний в данной области явно не хватит, поэтому пишу вам.

    Предлагаю следующий порядок действий:

    1. Проверить сначала первый ПК, а затем второй на предмет наличия удалённого управления в текущий момент. Причём не только легальный, но и несанкционированный.

    2. Проверить маршрутизатор на предмет "левых" настроек и тех самых вредоносных DNS

    3. Выявить наличие и причины всех заражений обоих устройств.

    4. Вылечить компы или снести всё снова.

    5. Построить грамотную защиту домашней сети.

    Во всём вышеперечисленном надеюсь на вашу поддержку.

    Также интересуют следующие вопросы:
    а) Можно ли отслеживать наличие удалённого доступа в сети (и легального и нет)? Если да, то как?
    б) Можно ли ограничить удалённый доступ в сети ПОЛНОСТЬЮ? Я не нуждаюсь в данной функции, и буду рад, если её можно просто заперить по любым каналам.
    в) Возможно ли, что пароли и личные данные мобильных устройств попали в чужие руки? (если предположить, что роутер был взломан)
    г) Каким образом на чистой винде могла появиться программа удалённого доступа при отсутствии такового? Может ли быть, что злоумышленник сделал это, через доступ к админке роутера?
    д) Могло ли каким-то образом заражение перейти от одного ПК к другому (напрямую или через маршрутизатор)?

    Вопрос для меня встал очень серьёзно, поэтому искренне верю, что решу её с вашей помощью. Готов скинуть любые дополнительные логи, ответить на дополнительные вопросы. Для ускорения процесса готов связаться по skype или мобильному телефону (Москва). Обещаю предоставлять всю информацию оперативно и следовать указаниям.

    Во вложениях логи ПК 2.
    Ссылка на FRST.txt:
    https://cloud.mail.ru/public/f8cb829e1feb/FRST.txt
    Заранее огромное спасибо.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) Whitery, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,246
    Вес репутации
    1022
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
    SetServiceStart('TermService', 4);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    На компьютере вирусов нет.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,272
    Вес репутации
    172
    Whitery, я вам рекомендую в ваш план добавить обязательный пункт:

    1. Обновление прошивки роутера. В них находят пачки уязвимостей, при этом роутер торчит в сети и видим извне.

    Вот например для вашего устройства:
    http://www.s3cur1ty.de/node/672
    Сценарии эксплуатации _ttp://chelaxe.ru/dir-300/

    Поэтому вы можете лечиться и бороться с баннерами до посинения, все это будет бесполезно. Достаточно злоумышленику банально прописать на вашем роутере другой DNS сервер и все, вы попадаете на вредосносный сайт и заражаетесь. А можно и не заражать, просто крутить вам рекламу и перекидывать на нужные сайты партнерок (продавать трафик).
    VirusInfo.info & Anti-Malware.ru | Мой блог |

  6. Ilya Shabanov получил(а) 2 благодарностей за это сообщение от


  7. #5
    Junior Member Репутация
    Регистрация
    11.02.2015
    Сообщений
    5
    Вес репутации
    7
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
    SetServiceStart('TermService', 4);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    На компьютере вирусов нет.
    Спасибо за ответ.
    А не могли бы вы пояснить конкретно, чем помогает данный скрипт? Чем он может помешать при работе? Я правильно понимаю, что при любой непонятной ситуации его нужно использовать?

    - - - - -Добавлено - - - - -

    Цитата Сообщение от Ilya Shabanov Посмотреть сообщение
    Whitery, я вам рекомендую в ваш план добавить обязательный пункт:

    1. Обновление прошивки роутера. В них находят пачки уязвимостей, при этом роутер торчит в сети и видим извне.

    Вот например для вашего устройства:
    http://www.s3cur1ty.de/node/672
    Сценарии эксплуатации _ttp://chelaxe.ru/dir-300/

    Поэтому вы можете лечиться и бороться с баннерами до посинения, все это будет бесполезно. Достаточно злоумышленику банально прописать на вашем роутере другой DNS сервер и все, вы попадаете на вредосносный сайт и заражаетесь. А можно и не заражать, просто крутить вам рекламу и перекидывать на нужные сайты партнерок (продавать трафик).
    Спасибо за ответ, Илья. У меня есть пара вопросов:

    1. В данный момент я пользуюсь Касперским. Это надёжный антивирус?
    2. Мониторинг сети в Касперском позволит мне определить несанкционированную удалёнку? Как мне её вычислить?
    3. Как мог злоумышленник залезть в настройки моего роутера? (при исключении возможности подключения через wi-fi)

  8. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,246
    Вес репутации
    1022
    А не могли бы вы пояснить конкретно, чем помогает данный скрипт?
    Отключает это

    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    и правит это

    >> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
    >> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
    >> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
    >> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
    >> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
    что при любой непонятной ситуации его нужно использовать?
    Нет. Каждый случай индивидуален.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

Присоединяйтесь к нам в соцсетях!

Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

Похожие темы

  1. Ответов: 0
    Последнее сообщение: 13.01.2014, 17:10
  2. Ответов: 17
    Последнее сообщение: 22.10.2013, 23:41
  3. Ответов: 9
    Последнее сообщение: 20.01.2011, 23:55
  4. Ответов: 1
    Последнее сообщение: 22.12.2009, 05:29
  5. Хакеры взломали сеть банкоматов Citibank
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 02.07.2008, 21:22

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00730 seconds with 22 queries