[OT] utok na pocitac

Jindroush jindroush na seznam.cz
Pátek Říjen 19 18:48:14 CEST 2018 

Ano, v pripade beznych napadeni by toto melo problem vyresit (existuje 
velmi okrajovy a vzacny pripad, kdy se malware umi nacpat do UEFI, takze 
prezije i toto, ale tady bych to necekal)

j.

On 19.10.2018 18:44, Jaroslav Buchta wrote:
> Obnovenim systemu myslim prepsani image do oddilu C:\ . To se snad 
> nema co kam schovat...
>
> Dne 19.10.2018 v 18:42 Jindroush napsal(a):
>> Nejjednodussi vysvetleni
>> a) spam - pouzivate "normalni" mail s nejakym kvalitnim spamfiltrem 
>> nebo nejaky freemail se zabudovanym? Napr. pres gmail jen tak neco 
>> neprotece.
>> b) skodlive stranky jsou vsechny, nic jako 'lidsky' rozpoznatelna 
>> neskodliva stranka neni. Proto to chce skutecne av, ktere umi na toto 
>> zatroubit a to MS AV neni
>>
>> Pokud se 'sama' hybala mys, uz v tu chvili tam bylo nainstalovane 
>> neco, cim ziskal utocnik plny pristup na desktop, takze klidne i to VNC.
>> Proto mi "obnovim system" neprijde jako dobry krok, ja bych to 
>> zformatoval a nainstaloval zcista, nikdy nevite, kam se to schova.
>>
>> j.
>>
>> On 19.10.2018 18:31, Jaroslav Buchta wrote:
>>> Me by zajimalo, kudy se to do systemu dostalo, nedavno nam to 
>>> zasifrovalo jeden trvale pripojeny pocitac s W7 - mel pry jednoduche 
>>> heslo, je to ta cesta, ze to zjisti heslo? Ja ho zas tak trivialni 
>>> nemel...
>>> Zadne nebezpecne aplikace (krome MS aktualizace  :-P ) jsem co si 
>>> pamatuju nestahoval a skodlive stranky prohlizim jen na virtualu...
>>> Pracoval jsem normalne v MSVS, a najednou mi to zaclo hejbat mysi a 
>>> objevil se ten spousteci dialog s radkem, ktery jsem sem postnul. 
>>> Odpojil jsem to od site, pracoval dal, pak za par hodin zase 
>>> pripojil a za nejakou cca hodinu se to opakovalo znova...
>>>
>>> Doma jsem na neverejne adrese a zatim nic. Jak jsem psal, zazalohuju 
>>> data, obnovim system do - 3 mesice, zkusim ten velky upgrade WIN 
>>> znova a budu to hlidat...
>>>
>>> Dne 19.10.2018 v 17:12 Jindroush napsal(a):
>>>> Staci se podivat sem:
>>>> https://www.virustotal.com/#/ip-address/92.63.197.48
>>>>
>>>> je tam videt, ze rada AV chyta jak tu IP adresu, tak ty exace, 
>>>> ktere se stahly.
>>>> V kazdem pripade na tom pocitaci uz bezelo "neco" pred tim, co 
>>>> ulozilo nejspis do registru to spousteni PowerShellu, ktery mel za 
>>>> ukol stahnout nejposlednejsi malicious exe - to jmeno vnc je mozna 
>>>> jen kourova clona.
>>>> Microsofti antivirus je stejne dobry, jako Malovani, ale i ten by 
>>>> toto mel chytat - takze zkontrolujte jeho logy a karantenu.
>>>>
>>>> Ja byt vami, tak zkontroluji, ze mam zalohy dulezitych veci a 
>>>> pocitac smazu a zacnu znovu. Nikdy nevite, kde se ktera komponenta 
>>>> muze usadit, a tady je videt, ze utocnik uz mel pc pod kontrolou.
>>>>
>>>> Zdravim,
>>>> J.
>>>>
>>>> On 19.10.2018 16:11, Dodo Racek wrote:
>>>>>  ta IP adresa z vasho odkazu vyzera byt
>>>>>
>>>>> IP address 	*92.63.197.48*
>>>>> Latitude 	55.7386
>>>>> Longitude 	37.6068
>>>>> Country 	Russian Federation
>>>>> Region 	
>>>>> City 	
>>>>> Organization 	IT DeLuxe Ltd.
>>>>>
>>>>>
>>>>> Nemyslim, ze by to bola nova featura Windows od Microsoftu  ...
>>>>>
>>>>>
>>>>> Dodo
>>>>>
>>>>> pi 19. 10. 2018 o 15:56 Jaroslav Buchta 
>>>>> <jaroslav.buchta at hascomp.cz <mailto:jaroslav.buchta at hascomp.cz>> 
>>>>> napísal(a):
>>>>>
>>>>>     Dnes se mi 2x stalo (po velke aktualizaci windows ;-) ) ze se
>>>>>     mi 2x neco
>>>>>     pokusilo prevzit UI pocitace, v radku pro spusteni programu se
>>>>>     objevilo
>>>>>
>>>>>
>>>>>     coz dava smysl. Ma nekdo zkusenost nebo tuseni kudy to neco
>>>>>     napadlo a co
>>>>>     s tim? Heslo jsem zmenil a radsi pracuju offline aspon kdyz
>>>>>     jsem na
>>>>>     verejne adrese... Defender nic nesignalizuje, VNC
>>>>>     nainstalovany nemam.
>>>>>
>>>>>     Nebo je to nova featura windows? :-P
>>>>>
>>>>>     _______________________________________________
>>>>>     HW-list mailing list  -  sponsored by www.HW.cz
>>>>>     Hw-list at list.hw.cz
>>>>>     http://list.hw.cz/mailman/listinfo/hw-list
>>>>>
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> HW-list mailing list  -  sponsored bywww.HW.cz
>>>>> Hw-list at list.hw.cz
>>>>> http://list.hw.cz/mailman/listinfo/hw-list
>>>>
>>>>
>>>> -- 
>>>> Jindroush<jindroush at seznam.cz>
>>>>
>>>>
>>>> _______________________________________________
>>>> HW-list mailing list  -  sponsored bywww.HW.cz
>>>> Hw-list at list.hw.cz
>>>> http://list.hw.cz/mailman/listinfo/hw-list
>>>
>>>
>>>
>>>
>>> _______________________________________________
>>> HW-list mailing list  -  sponsored bywww.HW.cz
>>> Hw-list at list.hw.cz
>>> http://list.hw.cz/mailman/listinfo/hw-list
>>
>>
>> -- 
>> Jindroush<jindroush at seznam.cz>
>>
>>
>> _______________________________________________
>> HW-list mailing list  -  sponsored bywww.HW.cz
>> Hw-list at list.hw.cz
>> http://list.hw.cz/mailman/listinfo/hw-list
>
>
>
>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list at list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list


-- 
Jindroush <jindroush at seznam.cz>

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20181019/5597000b/attachment.html>

Další informace o konferenci Hw-list