Varování - Viry, viry, viry

Archiv problémů, jež byly úspěšně vyřešeny.

Moderátoři: World Builder, Dungeon Master

labir
Příspěvky: 6774
Registrován: 18. 12. 2005 1.27
Bydliště: Sídlo u Amfiberai, sféra Equilibrie
Kontaktovat uživatele:

Varování - Viry, viry, viry

Příspěvek od labir »

Viry, viry, viry

Tak jsem chytil vira. Tedy přesněji ne já, ale můj počítač v práci Quatro (nějak prošel vším zabezpečením). A hned mrcha ukradl FTP hesla ke všem webům včetně pracovního a stránek a fóra Equilibrie, kam do iframe hnízd nakladl nebezpečný humus.

Humus jsem všude pečlivě vyčistil, hesla změnil, zabezpečil je v Tottal Commanderu master heslem a vyhubil havěť u sebe. Ale pro jistotu si zkontrolujte svoje počítače pokud jste se koukali na stránky Equilibrie, fórum Equilibrie či na stránky azfoto.cz během uplynulých cca 2 dnů.
Když něco chcete, nevynucujte si to od okolí. Ptejte se, co vy sami pro to můžete udělat.
cybermisa
Příspěvky: 6118
Registrován: 20. 2. 2006 2.46

Příspěvek od cybermisa »

Co jsi prosimte pouzival jako ochranu?

Ja pouzivam NOD32 Business & SUPERAntiSpyware. Jdu udelat scany a dam kdyztak report, jak to dopadlo.
labir
Příspěvky: 6774
Registrován: 18. 12. 2005 1.27
Bydliště: Sídlo u Amfiberai, sféra Equilibrie
Kontaktovat uživatele:

Příspěvek od labir »

ESET Smart Security s automatickou aktualizací (NOD32 je tohohle součástí). Docela dobré řešení, ale tahle mrcha přes to prošla. Vím že mi včera ESET hlásil 2x vira v nějakém PDFku a zabil je. Je docela možné že než je dostal tak stihly bestie infikovat weby, protože dnes po skenování nikde ani stopa a včera večer byl jeden index.php silně poškozený, jakoby se zapisoval ale nedozapsal celý - možná v tu chvíli po něm ESET skočil a zabil je.

Záhadou je jak to mohl udělat, když mám interaktivní režim firewallu - jen podle pravidel a když neví tak se optá. Musel zneužít nějaký program co to má povolené jako službu pokud to jde... no děs.
Když něco chcete, nevynucujte si to od okolí. Ptejte se, co vy sami pro to můžete udělat.
Wendigo
Příspěvky: 1001
Registrován: 15. 12. 2007 18.39
Kontaktovat uživatele:

Příspěvek od Wendigo »

Z testu ktere jsme delali pred lety na kybernetice kazdym zabezpecenim cas od casu neco projde a kazdy antivir neco nerozpozna. Od tech domacich neprilis spolehlivych hracek typu Avast nebo AVG na jedne strane, jako jeden z nejlepsich se ukazal NOD ale tim tehdy tusim asi dve nebo tri haveti prosly.
Jedine co naprosto spolehlive najde vse je MWAV - proste uchylne pomalu projizdi kod vseho. Kontrola 500GB disku je pomalu na dva dny ale zas je to jistota.

Nicmene Labire jestli se menila hesla muzes mi prosim do PM/na ICQ hodit nova hesla pro EPP az budes mit cas? Diky.
Na docasne dovolene od EQ
---
Zelgova hlava a novy portret [180kb] pro zajemce ke stazeni zde: http://wendigo.wz.cz/Zelg.rar
labir
Příspěvky: 6774
Registrován: 18. 12. 2005 1.27
Bydliště: Sídlo u Amfiberai, sféra Equilibrie
Kontaktovat uživatele:

Příspěvek od labir »

Tvoje hesla jsem neměnil, neměl jsem je uložené.
Když něco chcete, nevynucujte si to od okolí. Ptejte se, co vy sami pro to můžete udělat.
cybermisa
Příspěvky: 6118
Registrován: 20. 2. 2006 2.46

Příspěvek od cybermisa »

Mne NOD32 prijde jako velmi kvalitni antivir, slysim na nej odevsad jen samou chvalu. Jinak, notebook jsem mel cisty, jeste proskenuju stolni pc a mrnouska asi az zitra :smile:

Jinak Labire co mas proti spywaru&adawaru?
Roma
Příspěvky: 438
Registrován: 21. 5. 2008 17.39

Příspěvek od Roma »

Osobně vím, že i MWAV všechno neodhalí (ale dobrej, to jo). Spíš bych se zeptal labira jaký vir to konkrétně byl... Chci říci, že pokud to prošlo Tobě se Smatkou, může to být i na jiných počítačích stále neodhalené a budu-li vědět na jaký sajrajt se konkrétně zaměřit budete kontrola rychlejší a přesnější.
Roma Spouštěč pro Equilibrii 2.0 NWN Camera mod Listování v PM

Get the ability to choose: (.Y.) (oYo) (.)(.) (*)(*) (o)(0)
labir
Příspěvky: 6774
Registrován: 18. 12. 2005 1.27
Bydliště: Sídlo u Amfiberai, sféra Equilibrie
Kontaktovat uživatele:

Příspěvek od labir »

Roma píše:Osobně vím, že i MWAV všechno neodhalí (ale dobrej, to jo). Spíš bych se zeptal labira jaký vir to konkrétně byl... Chci říci, že pokud to prošlo Tobě se Smatkou, může to být i na jiných počítačích stále neodhalené a budu-li vědět na jaký sajrajt se konkrétně zaměřit budete kontrola rychlejší a přesnější.
No pravděpodobně se jednalo o trojany Win32/Wigon.LW a Win32/Rustock.NKU. Zřejmě se ke mě dostaly v PDFku. ESET je najde.
Když něco chcete, nevynucujte si to od okolí. Ptejte se, co vy sami pro to můžete udělat.
cybermisa
Příspěvky: 6118
Registrován: 20. 2. 2006 2.46

Příspěvek od cybermisa »

Tak jsem dokoncil skenovani 4 compu, ze kterych na EQ pristupuji a nikde nic, vse ciste :smile: ufff …
Uživatelský avatar
George
Příspěvky: 1694
Registrován: 29. 6. 2007 23.58
Bydliště: Znojmo
Kontaktovat uživatele:

Příspěvek od George »

Avast u mě nic nenašel
Sell drugs. Run guns. Nail sluts and fuck the law.
Sethiel
Příspěvky: 291
Registrován: 14. 4. 2008 19.23
Kontaktovat uživatele:

Příspěvek od Sethiel »

George píše:Avast u mě nic nenašel
To jsme dva, ale obávám se, že to vůbec o ničem nevypovídá. Nic lepšího nemám a ani moc neplánuju, nemůže se mi to vyplatit.

Mimochodem, Wendigo … nemám rád prohlášení, že "tohle je naprosto spolehlivé". Zrovna v souvislosti s viry tohle nemůže soudnej člověk vypustit z pusy (ani z klávesnice :bigwink: ).
Imagination is the only weapon in the war against reality.
Uživatelský avatar
Akruo
Příspěvky: 1069
Registrován: 29. 9. 2007 9.02
Bydliště: Znojmo

Příspěvek od Akruo »

můj ESET NOD32 taky nic neodhalil
"Nesouhlasím. To je individuální názor. Mnozí ho s tebou možná sdílí, ale věř, že mnozí ne." - Pavel Urban ©
Rangarog Dragobir - zakladatel Západoříšské obchodní společnosti, kupec, kovář a kovkop ...padl a byl Durminem přijat do Věčných síní
Brambor
labir
Příspěvky: 6774
Registrován: 18. 12. 2005 1.27
Bydliště: Sídlo u Amfiberai, sféra Equilibrie
Kontaktovat uživatele:

Příspěvek od labir »

No tak dneska je to tu opět. A opět nachlup stejně. ESET Smart Security nic nenašlo. Anti-malvare taky ne. A na 100% to bylo zase ode mě. Master heslo v Total Commanderu 8.5 beta je úplně k ničemu, zjevně chrání hesla jen v době mimo používání. Takže už si FTP hesla v Total Commanderu neukládám a hledám způsob jak vůbec tu bestii detekovat.

Edit: To je šílené, ono to dokonce do firewallu nastavilo dvě obecné díry! Holt je nutné master heslo i na Eset.
Když něco chcete, nevynucujte si to od okolí. Ptejte se, co vy sami pro to můžete udělat.
cybermisa
Příspěvky: 6118
Registrován: 20. 2. 2006 2.46

Příspěvek od cybermisa »

labir píše:No tak dneska je to tu opět. A opět nachlup stejně. ESET Smart Security nic nenašlo. Anti-malvare taky ne. A na 100% to bylo zase ode mě. Master heslo v Total Commanderu 8.5 beta je úplně k ničemu, zjevně chrání hesla jen v době mimo používání. Takže už si FTP hesla v Total Commanderu neukládám a hledám způsob jak vůbec tu bestii detekovat.

Edit: To je šílené, ono to dokonce do firewallu nastavilo dvě obecné díry! Holt je nutné master heslo i na Eset.
Jestli pouzivas body obnoveni, tak je docela dobry figl:

1. zrusit ve woknech moznost obnoveni
2. restart do nouzovyho rezimu a v tom udelat hloubkovou kontrolu antivirem, pak antispyware/malware/adaware
3. restart v normalnim rezimu a projet vse regcleanerem (napr. WiseRegistry Cleaner 4)
4. pak si zapnout obnoveni :smile:

Takhle likviduju tu havet ja

EDIT: Jojo, zakladem mit zaheslovany antivir, aby neslo menit nastaveni - to se mi na NODU desne libi. A taky je dulezity ve woknech vypnout sluzbu vzdaleneho pristupu k registrum, pokud ji teda nevyuzivas.
labir
Příspěvky: 6774
Registrován: 18. 12. 2005 1.27
Bydliště: Sídlo u Amfiberai, sféra Equilibrie
Kontaktovat uživatele:

Příspěvek od labir »

Zatím jsem zjistil že tu mrchu mám skutečně u sebe, odesílá data při libovolném FTP připojení přes TotalCommandera na IP 78.109.24.105. Jenže ani Ad-aware ji zatím nenašlo. A pozor dovede odposlouchávat hesla jenž zapisujete v Total Commanderu a tak ani nemusí být uložená. Eset ani Anti-Malware to nenajde.

Apropo kde se vypíná vzdálený přístup k registrům?
Naposledy upravil(a) labir dne 13. 8. 2009 16.22, celkem upraveno 2 x.
Když něco chcete, nevynucujte si to od okolí. Ptejte se, co vy sami pro to můžete udělat.
Wendigo
Příspěvky: 1001
Registrován: 15. 12. 2007 18.39
Kontaktovat uživatele:

Příspěvek od Wendigo »

Sethiel píše:
George píše:Avast u mě nic nenašel
To jsme dva, ale obávám se, že to vůbec o ničem nevypovídá. Nic lepšího nemám a ani moc neplánuju, nemůže se mi to vyplatit.

Mimochodem, Wendigo … nemám rád prohlášení, že "tohle je naprosto spolehlivé". Zrovna v souvislosti s viry tohle nemůže soudnej člověk vypustit z pusy (ani z klávesnice :bigwink: ).
99,8% bych rekla, absolutne ti nereknu ani jestli zejtra nezbori karluv most meteorit ;] Kazdopadne mwav se pouziva na viry.cz na diagnostiku uz nejaky ten patk stejne jako na spouste zahranicnich serveru takz bych se drzela toho ze nejpresnejsi zato uchylne pomaly.
Na docasne dovolene od EQ
---
Zelgova hlava a novy portret [180kb] pro zajemce ke stazeni zde: http://wendigo.wz.cz/Zelg.rar
cybermisa
Příspěvky: 6118
Registrován: 20. 2. 2006 2.46

Příspěvek od cybermisa »

labir píše: Apropo kde se vypíná vzdálený přístup k registrům?
Je to sluzba, ktera se u mne na ceskych Vistach jmenuje Vzdaleny registr - tu staci zakazat.
Roma
Příspěvky: 438
Registrován: 21. 5. 2008 17.39

Příspěvek od Roma »

labir píše:Apropo kde se vypíná vzdálený přístup k registrům?
A u XP to běží jako "service", takže msconfig a vzdálený přístup odfajfknout... Nevím přesně jak se to jmenuje, mám to úplně odebrané, ale dá se to podle názvu rozpoznat.
Roma Spouštěč pro Equilibrii 2.0 NWN Camera mod Listování v PM

Get the ability to choose: (.Y.) (oYo) (.)(.) (*)(*) (o)(0)
Uživatelský avatar
George
Příspěvky: 1694
Registrován: 29. 6. 2007 23.58
Bydliště: Znojmo
Kontaktovat uživatele:

Příspěvek od George »

Roma píše:
labir píše:Apropo kde se vypíná vzdálený přístup k registrům?
A u XP to běží jako "service", takže msconfig a vzdálený přístup odfajfknout... Nevím přesně jak se to jmenuje, mám to úplně odebrané, ale dá se to podle názvu rozpoznat.
Na XP jsem to našel jako "Vzdálený registr"
Sell drugs. Run guns. Nail sluts and fuck the law.
darmian
Příspěvky: 1166
Registrován: 22. 7. 2006 18.40

Příspěvek od darmian »

Roma píše:
labir píše:Apropo kde se vypíná vzdálený přístup k registrům?
A u XP to běží jako "service", takže msconfig a vzdálený přístup odfajfknout... Nevím přesně jak se to jmenuje, mám to úplně odebrané, ale dá se to podle názvu rozpoznat.
Takhle se to dá udělat i u Vist.
Odpovědět