Перейти к содержанию

Странная ситуация


Рекомендуемые сообщения

Здравствуйте, ребят. У меня странная ситуация, но суть вот в чём.

У меня не стоит ни фаервола, ни антивируса. Мне дали ссылку на сайт. Визуально ничего не открылось, но был запущен скрипт (хром попросил активировать QuickTime и Java плагины), ну я с дуру то и активировал.

Вот лог от хакера, взломавшего меня:

[*] 10.33.36.109	 apple_quicktime_rtsp - Sending init HTML
[*] 10.33.36.109	 apple_quicktime_smil_debug - Sending initial HTML
[*] 10.33.36.109	 apple_quicktime_rtsp - Sending init HTML
[*] 10.33.36.109	 apple_quicktime_rtsp - Sending init HTML
[*] 10.33.36.109	 apple_quicktime_smil_debug - Sending initial HTML
[*] 10.33.36.109	 apple_quicktime_rtsp - Sending init HTML
[*] 10.33.36.109	 apple_quicktime_smil_debug - Sending initial HTML
[*] 10.33.36.109	 apple_quicktime_smil_debug - Sending initial HTML
[*] 10.33.36.109	 apple_quicktime_rtsp - Sending init HTML
[*] 10.33.36.109	 apple_quicktime_rtsp - Sending init HTML
[*] 10.33.36.109	 apple_quicktime_smil_debug - Sending initial HTML
[*] 10.33.36.109	 java_verifier_field_access - Sending Java Applet Field Bytecode Verifier Cache Remote Code Execution
[*] 10.33.36.109	 java_verifier_field_access - Generated jar to drop (5483 bytes).
[*] 10.33.36.109	 java_jre17_exec - Java 7 Applet Remote Code Execution handling request
[*] 10.33.36.109	 java_atomicreferencearray - Sending Java AtomicReferenceArray Type Violation Vulnerability
[*] 10.33.36.109	 java_atomicreferencearray - Generated jar to drop (5483 bytes).
[*] 10.33.36.109	 apple_quicktime_smil_debug - Sending initial HTML
[*] 10.33.36.109	 apple_quicktime_rtsp - Sending exploit QTL file (target: Browser Universal)
[*] 10.33.36.109	 java_rhino - Java Applet Rhino Script Engine Remote Code Execution handling request
[*] 10.33.36.109	 java_verifier_field_access - Sending jar
[*] 10.33.36.109	 java_rhino - Sending Applet.jar
[*] 10.33.36.109	 java_atomicreferencearray - Sending jar
[*] 10.33.36.109	 java_jre17_exec - Sending Applet.jar
[*] 10.33.36.109	 java_verifier_field_access - Sending jar
[*] 10.33.36.109	 java_rhino - Sending Applet.jar
[*] 10.33.36.109	 java_atomicreferencearray - Sending jar
[*] 10.33.36.109	 java_jre17_exec - Sending Applet.jar
[*] Sending stage (30216 bytes) to 10.33.36.109
[*] 10.33.36.109	 java_rhino - Java Applet Rhino Script Engine Remote Code Execution handling request
[*] 10.33.36.109	 java_rhino - Java Applet Rhino Script Engine Remote Code Execution handling request
[*] 10.33.36.109	 java_rhino - Java Applet Rhino Script Engine Remote Code Execution handling request
[*] 10.33.36.109	 java_rhino - Java Applet Rhino Script Engine Remote Code Execution handling request

 

Насколько я понимаю хакер использовал QT или Java експлоит.

Короче, после всего этого началось. Он скидывал мне скрины с моего экрана) Видел всё что я делал, мог управлять моими программами (он настроил CCProxy, у меня остались его логи). Я знаю статический IP локальной сети хакера.

 

И тоже странная просьба. Мне нужно не просто удалить вирус, а понять где он полазил, вернее в каком процессе он жил. Кстати видимо хакер оставил бэкдор, т.к. после перезагрузки компа он залез снова. Руткиты он вроде не использовал.

Помогите пожалуйста, я нуб в вирусологии)

Изменено пользователем lolex
Ссылка на комментарий
Поделиться на другие сайты

Да, извиняюсь, не заметил. На заметку, хакер использовал этот эксплоит. удалено

 

1. Проверил "Dr.Web CureIt!".

2. AVZ уже стояла, обновил базы. Скачал RSIT.

3. Так, я пока не буду удалять темпы. Так как с этим сотрутся виндовые логи (я прав?), а мне нужно найти место действия эксплоита (ошибку выполнения сценария). Обязательно ли это делать? Продолжу после ответа.

Строгое предупреждение от модератора Mark D. Pearlstone
Предупреждение за нарушение пункта 11 правил форума.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • E.K.
      Автор E.K.
      Всем привет!
       
      Меня периодически и регулярно спрашивают в скольких странах я уже успел побывать. Иногда тот же вопрос задают про города. Посему я решил здесь повесить подробный ответ на этот вопрос.
       
      Конференции, выставки, прочие мероприятия и события, разные дополнительные путешествия - да вы сами знаете, что в моих графиках жизни по сотне+ перелётов за год, десятки городов и разных стран пребывания. Линии перемещения накрывают совершенно разные города и страны. Уже побывал почти (ещё чуть-чуть осталось ) в половине государств мира (по версии ООН). Однако, прежде чем перейти к списку, надо определиться что значит "был или не был".
       
      "Был" означает, что стоял на земле данной страны и совершил там какое-то полезное действие. Например, по минимуму: переночевал, поужинал, прогулялся час-два и фоток красивых сделал. Или же просто кружку пива выпил.
       
      По этой причине, например, в списке нет Белоруссии. Однажды пересакал её на машине, но останавливался только для заправки автомобиля. Не засчитывается --- Начиная с мая-2023 уже есть и засчитывается! Аналогично в список не попадает Гайана: мы там на дозаправку остановились только. Из самолёта в аэропорт вышли - и всё. Никаких особо важных действий засчитано не было. Но при этом Коста-Рика однозначно в списке, несмотря на всего одну проведённую там ночь: приземлились, поселились в ближайшем к аэропорту отеле, в местном казино которого и выпили пива за новую страну пребывания // в казино я не играю, не очень мне эти заведения - но там обязательно должен быть бар!
       
      Правило "кружка/бутылка/банка" пива - важное. Поскольку иногда забег в страну краток и незначителен. Например, на территории Парагвая мы были всего ничего (прогулка по речке Паране на кораблике, экскурсия в деревню местных индейцев), но на кораблике было баночное пиво! Чем я и не преминул воспользоваться, Парагвай = засчитан!
       
      Но "правило пива" совершенно необязательно. Существуют же строго безалкогольные страны (Иран, Саудовская Аравия), а в Ватикане пива обнаружено не было. А в Лихтенштейне просто не захотелось   но потом исправился! Короче, оставим в стороне тему пиво-безалкогольных напитков.
       
      Ещё важный критерий попадания в список: суверенная независимость данного государства в момент посещения. Поскольку политическая карта мира непостоянна, то этот критерий необходим. Например, я не был в независимой Грузии. Вернее, бывал на её территории, в Батуми, примерно в 1981 году, когда она была Грузинской ССР, во времена старого-дряхлого Советского Союза.

      Короче, список "был или не был" весьма зависит от геополитически признанных или оспариваемых границ всего и вся, и лезть в этот салат-оливье мне совершенно не хочется. Это можно считать "дисклеймером".
       
      И по уже устоявшейся традиции, список стран будет следовать их расположению на политической карте мира слева-направо и сверху вниз: Америки, Европа, Ближний восток и Средняя Азия, Африка, Азия, Австралии и Океании.
       
      Итого, в списке на сегодняшний день ровно 100 стран - в ноябре 2022го я начал вторую сотню. Пока в списке 106 107 стран.
       
      Америки и острова:
       
      Канада, США, Мексика, Багамы, Куба, Доминикана, Пуэрто-Рико, Сент-Люсия, Сент Винсент и Гренадины.
      Гватемала, Коста-Рико, Панама, Колумбия, Эквадор, Перу, Боливия, Бразилия, Парагвай, Чили, Аргентина. // Антарктида.. шутка      = 20.
       
      Европы:
       
      // Это больше всего "закрашенный" континент. Здесь у меня практически нет белых пятен, был... да практически везде. Легче перечислить где ещё не был. Этих стран всего шесть пять: Словения, Черногория, Албания, Болгария, Белоруссия, Молдавия. Список "был" подлиннее получается:
       
      Исландия, Ирландия, Великобритания, Франция, Монако, Андорра, Испания, Португалия.
      Норвегия, Швеция, Финляндия, Дания. Бельгия, Нидерланды, Люксембург.
      Германия, Австрия, Швейцария, Лихтенштейн, Италия, Ватикан, Сан Марино, Мальта.
      Польша, Чехия, Словакия, Венгрия, Румыния, Сербия, Босния и Герцеговина, Хорватия, Македония, Греция, Кипр.            
      Литва, Латвия, Эстония, Белоруссия, Украина       = 39.
       
      Кавказ, Средняя Азия, Ближний восток:
       
      Армения, Азербайджан, Казахстан, Киргизия, Узбекистан.
      Турция, Ливан, Израиль, Иордания, Саудовская Аравия, ОАЭ, Оман, Иран    = 13.
       
      Африка:
       
      Марокко, Алжир, Тунис, Египет, Габон, Руанда, Кения, Танзания, Ангола, Намибия, ЮАР, Замбия, Зимбабве, Мадагаскар    = 14.
       
      Азия:
       
      Индия, Шри Ланка, Непал, Мальдивы, Сейшелы, Маврикий.
      Монголия, Япония, Корея, Китай, (Тайвань = геополитически агрессивная тема, пусть вместе с автономными территориями Гонконг и Макао пойдёт в список как одна страна), Вьетнам, Филиппины, Таиланд, Малайзия, Сингапур, Индонезия     = 17
       
      Австралия и далее:
       
      Австралия, Новая Зеландия.                                           
      Фиджи, Vanuatu    = 4.
       
       
      ИТОГО = 107 стран // без учёта России и СССР
       
      UPD2019: +Босния и Герцеговина, Сан-Марино, Руанда, Монголия, Ливан.
      UPD2020: +Намибия, Мадагаскар, Ангола.
      UPD2022: +Египет, Иордания.
      UPD2023: +Белоруссия, Кения.
      UPD2024: +Филиппины, Алжир.
      UPD2025: +Боливия.
    • Bercolitt
      Автор Bercolitt
      Если попытаться зайти в свой почтовый ящик mail.yandex через аккаунт с неправильным паролем, форма входа в аккаунт начинает быстро моргаться не реагируя на команды управление. Такое впечатление, что идет подбор пароля в автоматическом режиме. После перезагрузки закладки браузера,  учетная запись  ящика  блокируется.
      Если в приложении Kaspersky Password Manager с одним почтовым сервером связаны несколько учетных записей, то выбрать конкретную учетную запись для переходла не получается. Видишь одну учетную запись, а улетает совсем по другой.
    • Олег Н
      Автор Олег Н
      Здравствуйте.
      С 26.12.2024 стали появляться странные файлы и папки на рабочем столе. Антивирус угрозы в них не видит. Помогите разобраться, пожалуйста, что это?
       
      Desktop.rar
    • Vinchi
      Автор Vinchi
      Решил я скачать фикс для дс. Зашёл на ютуб и вбил, нашел вроде нормального ютубера, видео хорошее, лайков много и комментарии все хорошие. Ну скачал я через некоторое время моему пк стало очень плохо, начал сильно лагать и т.д. Пытался найти проблему - не смог. Решил переустановить винду. Переустановил я винду и снова те же симптомы. Думал, что что-то не так с технической стороны пк, сдал его в сервис там сидели и думали на протяжении 4 дней - ничего не нашли. Потом я решил сам покопаться в системе и нашел тот самый - nanominer. Пытался его удалить через касперский - когда его удаляешь он восстанавливается, вручную удаляешь - итог тот же. Очистил все бек апы, удаляю - восстанавливается. Так же когда открыт диспетчер задач - нагрузка на пк 8%-10% ЦП, когда закрыт - 100% ЦП. Так же AutoLogger не работает, когда диспетчер задач закрыт, говорит, что нет доступа к AV
      CollectionLog-2024.12.23-19.43.zip
    • couitatg
      Автор couitatg
      В субботу, пока я играл в игру, антивирус Касперского проводил сканирование в фоновом режиме. По отчетам, он обнаружил 56 попыток майнинга, а также удалил 351 вирусный объект.
      После этого я решил провести дополнительное сканирование. В результате была выявлена безфайловая угроза и фейковый процесс msedge.exe, который установил TCP-соединение.
      Спустя 20–30 минут попыток устранить угрозу, я заметил, что Windows Defender работает как единственный антивирус в системе, а Касперский будто бы не функционирует. Defender обнаружил троян Njrat в msedge.exe, но не смог его устранить. Более того, в исключениях Windows Defender оказались указаны диск, файл msedge.exe и папка Program Files.
      Позже я обнаружил майнер в поддельных файлах taskmgr.exe, regedit.exe и svchost.exe.
      Самым неприятным оказалось то, что был выявлен руткит (C:\Program Files\DrWeb\drwebnet.sys), хотя антивирус Dr.Web на системе отсутствовал. У руткита была действительная цифровая подпись от Microsoft. Windows Defender смог успешно устранить руткит, но с трояном Njrat так и не справился.
      Затем аналогичная копия руткита обнаружилась в папке антивируса Avast, который тоже не был установлен на системе.
      Наконец, система подверглась попытке шифрования вирусом (предположительно Chaos Ransomware). Мне удалось остановить процесс с помощью утилиты Process Hacker.

      CollectionLog-2024.12.15-13.23.zip
×
×
  • Создать...