Дома есть 2 ПК. Пользуемся маршрутизатором D-Link DIR-300 по патчкорду. Также подключаемся к Wi-Fi с мобильных устройств. Админка там запаролена, wi-fi тоже. В конце декабря, сначала на первом ПК, а затем и на втором, появились странные баннеры на vk.com и google.com, а также просьбой отключить adblock. Форматнули все диски, переустановили винду, через неделю проблема объявилась снова.
После этого мне подсказали, что возможно прописаны вредоносные DNS на маршрутизаторе. Так как я не знал, как это проверить, тупо сбросил настройки роутера. Прошло две недели, и вчера утром, запустившись нормально с третьего раза, второй ПК выдал мне в автозапуске Citrix Receiver(который не мог быть поставлен на него без моего ведома,) с датой установки 29.12 (в день переустановки винды), и там же какие-то левые команды типа открытия через cmd сайта "Ленивый геймер".
За время всех данных событий, на обоих компах стояли NOD 32, Avast и CCleaner. Несколько раз проводились проверки. Думаю, что с компами нужно что-то делать. Моих знаний в данной области явно не хватит, поэтому пишу вам.
Предлагаю следующий порядок действий:
1. Проверить сначала первый ПК, а затем второй на предмет наличия удалённого управления в текущий момент. Причём не только легальный, но и несанкционированный.
2. Проверить маршрутизатор на предмет "левых" настроек и тех самых вредоносных DNS
3. Выявить наличие и причины всех заражений обоих устройств.
4. Вылечить компы или снести всё снова.
5. Построить грамотную защиту домашней сети.
Во всём вышеперечисленном надеюсь на вашу поддержку.
Также интересуют следующие вопросы:
а) Можно ли отслеживать наличие удалённого доступа в сети (и легального и нет)? Если да, то как?
б) Можно ли ограничить удалённый доступ в сети ПОЛНОСТЬЮ? Я не нуждаюсь в данной функции, и буду рад, если её можно просто заперить по любым каналам.
в) Возможно ли, что пароли и личные данные мобильных устройств попали в чужие руки? (если предположить, что роутер был взломан)
г) Каким образом на чистой винде могла появиться программа удалённого доступа при отсутствии такового? Может ли быть, что злоумышленник сделал это, через доступ к админке роутера?
д) Могло ли каким-то образом заражение перейти от одного ПК к другому (напрямую или через маршрутизатор)?
Вопрос для меня встал очень серьёзно, поэтому искренне верю, что решу её с вашей помощью. Готов скинуть любые дополнительные логи, ответить на дополнительные вопросы. Для ускорения процесса готов связаться по skype или мобильному телефону (Москва). Обещаю предоставлять всю информацию оперативно и следовать указаниям.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Whitery, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Поэтому вы можете лечиться и бороться с баннерами до посинения, все это будет бесполезно. Достаточно злоумышленику банально прописать на вашем роутере другой DNS сервер и все, вы попадаете на вредосносный сайт и заражаетесь. А можно и не заражать, просто крутить вам рекламу и перекидывать на нужные сайты партнерок (продавать трафик).
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Спасибо за ответ.
А не могли бы вы пояснить конкретно, чем помогает данный скрипт? Чем он может помешать при работе? Я правильно понимаю, что при любой непонятной ситуации его нужно использовать?
- - - - -Добавлено - - - - -
Сообщение от Ilya Shabanov
Whitery, я вам рекомендую в ваш план добавить обязательный пункт:
1. Обновление прошивки роутера. В них находят пачки уязвимостей, при этом роутер торчит в сети и видим извне.
Поэтому вы можете лечиться и бороться с баннерами до посинения, все это будет бесполезно. Достаточно злоумышленику банально прописать на вашем роутере другой DNS сервер и все, вы попадаете на вредосносный сайт и заражаетесь. А можно и не заражать, просто крутить вам рекламу и перекидывать на нужные сайты партнерок (продавать трафик).
Спасибо за ответ, Илья. У меня есть пара вопросов:
1. В данный момент я пользуюсь Касперским. Это надёжный антивирус?
2. Мониторинг сети в Касперском позволит мне определить несанкционированную удалёнку? Как мне её вычислить?
3. Как мог злоумышленник залезть в настройки моего роутера? (при исключении возможности подключения через wi-fi)
А не могли бы вы пояснить конкретно, чем помогает данный скрипт?
Отключает это
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
и правит это
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
что при любой непонятной ситуации его нужно использовать?