Перейти к содержанию
Правила раздела

Странная ситуация

lolex

От lolex
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

lolex Новичок

lolex

Опубликовано
Опубликовано (изменено)

Здравствуйте, ребят. У меня странная ситуация, но суть вот в чём.

У меня не стоит ни фаервола, ни антивируса. Мне дали ссылку на сайт. Визуально ничего не открылось, но был запущен скрипт (хром попросил активировать QuickTime и Java плагины), ну я с дуру то и активировал.

Вот лог от хакера, взломавшего меня:

[*] 10.33.36.109	 apple_quicktime_rtsp - Sending init HTML
[*] 10.33.36.109	 apple_quicktime_smil_debug - Sending initial HTML
[*] 10.33.36.109	 apple_quicktime_rtsp - Sending init HTML
[*] 10.33.36.109	 apple_quicktime_rtsp - Sending init HTML
[*] 10.33.36.109	 apple_quicktime_smil_debug - Sending initial HTML
[*] 10.33.36.109	 apple_quicktime_rtsp - Sending init HTML
[*] 10.33.36.109	 apple_quicktime_smil_debug - Sending initial HTML
[*] 10.33.36.109	 apple_quicktime_smil_debug - Sending initial HTML
[*] 10.33.36.109	 apple_quicktime_rtsp - Sending init HTML
[*] 10.33.36.109	 apple_quicktime_rtsp - Sending init HTML
[*] 10.33.36.109	 apple_quicktime_smil_debug - Sending initial HTML
[*] 10.33.36.109	 java_verifier_field_access - Sending Java Applet Field Bytecode Verifier Cache Remote Code Execution
[*] 10.33.36.109	 java_verifier_field_access - Generated jar to drop (5483 bytes).
[*] 10.33.36.109	 java_jre17_exec - Java 7 Applet Remote Code Execution handling request
[*] 10.33.36.109	 java_atomicreferencearray - Sending Java AtomicReferenceArray Type Violation Vulnerability
[*] 10.33.36.109	 java_atomicreferencearray - Generated jar to drop (5483 bytes).
[*] 10.33.36.109	 apple_quicktime_smil_debug - Sending initial HTML
[*] 10.33.36.109	 apple_quicktime_rtsp - Sending exploit QTL file (target: Browser Universal)
[*] 10.33.36.109	 java_rhino - Java Applet Rhino Script Engine Remote Code Execution handling request
[*] 10.33.36.109	 java_verifier_field_access - Sending jar
[*] 10.33.36.109	 java_rhino - Sending Applet.jar
[*] 10.33.36.109	 java_atomicreferencearray - Sending jar
[*] 10.33.36.109	 java_jre17_exec - Sending Applet.jar
[*] 10.33.36.109	 java_verifier_field_access - Sending jar
[*] 10.33.36.109	 java_rhino - Sending Applet.jar
[*] 10.33.36.109	 java_atomicreferencearray - Sending jar
[*] 10.33.36.109	 java_jre17_exec - Sending Applet.jar
[*] Sending stage (30216 bytes) to 10.33.36.109
[*] 10.33.36.109	 java_rhino - Java Applet Rhino Script Engine Remote Code Execution handling request
[*] 10.33.36.109	 java_rhino - Java Applet Rhino Script Engine Remote Code Execution handling request
[*] 10.33.36.109	 java_rhino - Java Applet Rhino Script Engine Remote Code Execution handling request
[*] 10.33.36.109	 java_rhino - Java Applet Rhino Script Engine Remote Code Execution handling request

 

Насколько я понимаю хакер использовал QT или Java експлоит.

Короче, после всего этого началось. Он скидывал мне скрины с моего экрана) Видел всё что я делал, мог управлять моими программами (он настроил CCProxy, у меня остались его логи). Я знаю статический IP локальной сети хакера.

 

И тоже странная просьба. Мне нужно не просто удалить вирус, а понять где он полазил, вернее в каком процессе он жил. Кстати видимо хакер оставил бэкдор, т.к. после перезагрузки компа он залез снова. Руткиты он вроде не использовал.

Помогите пожалуйста, я нуб в вирусологии)

Изменено пользователем lolex
Ссылка на комментарий
Поделиться на другие сайты
lolex Новичок

lolex

Опубликовано
  • Автор
Опубликовано

Да, извиняюсь, не заметил. На заметку, хакер использовал этот эксплоит. удалено

 

1. Проверил "Dr.Web CureIt!".

2. AVZ уже стояла, обновил базы. Скачал RSIT.

3. Так, я пока не буду удалять темпы. Так как с этим сотрутся виндовые логи (я прав?), а мне нужно найти место действия эксплоита (ошибку выполнения сценария). Обязательно ли это делать? Продолжу после ответа.

Строгое предупреждение от модератора Mark D. Pearlstone
Предупреждение за нарушение пункта 11 правил форума.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Bercolitt
      Странное поведение при заходе на mail.yandex через Google Chrome.
      От Bercolitt
      Если попытаться зайти в свой почтовый ящик mail.yandex через аккаунт с неправильным паролем, форма входа в аккаунт начинает быстро моргаться не реагируя на команды управление. Такое впечатление, что идет подбор пароля в автоматическом режиме. После перезагрузки закладки браузера,  учетная запись  ящика  блокируется.
      Если в приложении Kaspersky Password Manager с одним почтовым сервером связаны несколько учетных записей, то выбрать конкретную учетную запись для переходла не получается. Видишь одну учетную запись, а улетает совсем по другой.
    • Олег Н
      Появляются странные файлы и папки на рабочем столе
      От Олег Н
      Здравствуйте.
      С 26.12.2024 стали появляться странные файлы и папки на рабочем столе. Антивирус угрозы в них не видит. Помогите разобраться, пожалуйста, что это?
       
      Desktop.rar
    • Vinchi
      На пк "Nanominer", если сношу самостоятельно - постоянно восстанавливается, через касперский такая же ситуация.
      От Vinchi
      Решил я скачать фикс для дс. Зашёл на ютуб и вбил, нашел вроде нормального ютубера, видео хорошее, лайков много и комментарии все хорошие. Ну скачал я через некоторое время моему пк стало очень плохо, начал сильно лагать и т.д. Пытался найти проблему - не смог. Решил переустановить винду. Переустановил я винду и снова те же симптомы. Думал, что что-то не так с технической стороны пк, сдал его в сервис там сидели и думали на протяжении 4 дней - ничего не нашли. Потом я решил сам покопаться в системе и нашел тот самый - nanominer. Пытался его удалить через касперский - когда его удаляешь он восстанавливается, вручную удаляешь - итог тот же. Очистил все бек апы, удаляю - восстанавливается. Так же когда открыт диспетчер задач - нагрузка на пк 8%-10% ЦП, когда закрыт - 100% ЦП. Так же AutoLogger не работает, когда диспетчер задач закрыт, говорит, что нет доступа к AV
      CollectionLog-2024.12.23-19.43.zip
    • couitatg
      Очень странное и необычное заражение вирусом удалённого доступа
      От couitatg
      В субботу, пока я играл в игру, антивирус Касперского проводил сканирование в фоновом режиме. По отчетам, он обнаружил 56 попыток майнинга, а также удалил 351 вирусный объект.
      После этого я решил провести дополнительное сканирование. В результате была выявлена безфайловая угроза и фейковый процесс msedge.exe, который установил TCP-соединение.
      Спустя 20–30 минут попыток устранить угрозу, я заметил, что Windows Defender работает как единственный антивирус в системе, а Касперский будто бы не функционирует. Defender обнаружил троян Njrat в msedge.exe, но не смог его устранить. Более того, в исключениях Windows Defender оказались указаны диск, файл msedge.exe и папка Program Files.
      Позже я обнаружил майнер в поддельных файлах taskmgr.exe, regedit.exe и svchost.exe.
      Самым неприятным оказалось то, что был выявлен руткит (C:\Program Files\DrWeb\drwebnet.sys), хотя антивирус Dr.Web на системе отсутствовал. У руткита была действительная цифровая подпись от Microsoft. Windows Defender смог успешно устранить руткит, но с трояном Njrat так и не справился.
      Затем аналогичная копия руткита обнаружилась в папке антивируса Avast, который тоже не был установлен на системе.
      Наконец, система подверглась попытке шифрования вирусом (предположительно Chaos Ransomware). Мне удалось остановить процесс с помощью утилиты Process Hacker.

      CollectionLog-2024.12.15-13.23.zip
    • Serg1619
      Поймал шифровальщик со странным расширением abdula.a@aol.com
      От Serg1619
      С утра на сервере все значки стали тектостовыми файлами с расширением abdula.a@aol.com,при открытии фаилой везде открывается блокном с требованием написать им на почту для того чтоб разблокировать.
      Как то можно расшифровать все файлы?или все уже безнадежно?
×
×
  • Создать...