VIRY.CZ

Ahoj, technická vsuvka - udělejme si pořádek v pojmech.

ESET Endpoint Security je antivir (AV) + FW,
ESET Protect (EPP) je centrální konzole na správu ESET produktů, takže když kolegyni antivir něco chytne, právě v té konzoli (na serveru) to uvidíš. Dá se s ní dělat plno nejrůznějších věcí a mám ji ...

Ahoj,

.nesa je výtvor STOP (djvu) ransomwaru a podle tohoto webu (zatím) není možné soubory dešifrovat
https://www.nomoreransom.org/crypto-sheriff.php?lang=cs

Ahoj,

jen doplnim. Tohle byl infostealer a byly ti ukradeny prihlasovaci udaje (ulozena hesla a cookies) z prohlizecu. I po reinstalu velice doporucuju zmenit vsechna hesla, ktera mas ulozena v prohlizecich. Cracky na tento "malirsky" software (vis, o cem mluvim) byva posledni dobou plny podobneho ...

Ahoj,

jen doplnim. Tohle byl infostealer a byly ti ukradeny prihlasovaci udaje (ulozena hesla a cookies) z prohlizecu. I po reinstalu velice doporucuju zmenit vsechna hesla, ktera mas ulozena v prohlizecich. Cracky na tento "malirsky" software (vis, o cem mluvim) byva posledni dobou plny podobneho ...

Ahoj, za mě to též bude ok. Podle vseho to bude zero trust DNS sluzba.
https://www.reddit.com/r/techsupport/co ... ice_after/

Ahoj, jen prochazim kolem...

Pokud nepouzivate ScreenConnect, odinstaluj ho. Hodne soucasnych utoku dneska probiha tak, ze utocnici obet presvedcijou, aby spustila/nainstalovala nejaky RMM tool (TeamViewer, AnyDesk, ...) a pak na PC obeti sami klikaji.

Dalsi bordel tam taky nevidim, tady bohuzel ...

Po ručním smazání klíče je problém vyřešen?

Edge Extension: (Crypto Web Extension) je rozšíření do prohlížeče, ohledně podpisu smluv s ministerstvem školství, takže v tom bych bubáka doufám neviděl. Manželka to musí mít aby se mohla ověřit u nich v systému.
Ok, tím pádem cajk.

Ukradený archiv jsem prohledal, je to teda dost hustý, ale nic ...

Když vyhledáš soubory a pak registry, vidím jen obsah z hledání registrů. Vyhledej ještě jednou soubory.

Otevři regedit a danou hodnotu (plnkhmnoajbfccclonaeepohggeolcih) v tomto klíči ručně smaž.

Hmm, divné. AdwCleaner byl koupen společností Malwarebytes, tak jsem čekal, že budou mít podobný/stejný detekční engine. Dobrá, spusť FRST, do textového pole vlož a klikni na Search Files. Pokud nic nenajde, tak i Search Registry. Obsah search.txt pak pošli.

Ano, www.neslape.cz patří k nám - u mě webovka funguje.

CBS log jsem nenašel, ale nepotřebuju ho. Díky za vzorek, sedím v tom pár hodin a je to dosti komplexní kód s plno zajímavostmi. Kluci měli v reálném čase přístup na tvůj PC - vidíme to např. v tom, že k počáteční infekci došlo 28.2., ale ...

Zatím fixlist na dočištění. Ke zbytku se vyjádřím za chvíli.

Start
CloseProcesses:
HKLM\Software\Policies\...\system: [UploadUserActivities] 0
CHR StartupUrls: Default -> "hxxp://search.conduit.com/?ctid=CT3289075&SearchSource=48&CUI=UN49515189314555504&UM=1","hxxp://www.mystartsearch.com/?type=hp ...

Díky za vzorky, večer/zítra je prostuduju. Link jsem smazal, jen pro jistotu.

Ještě budeme dočisťovat, ale havěť už neběží, takže můžeš měnit hesla. Budu mít časoprostor nejdřív večer. V mezičase zatím proskenuj PC nějakým reputable toolem třeba ESET Online Scannerem nebo MBAM.

Pouzivas jen ...

Proskenuj PC pomocí MBAM. Rád bych se dozvěděl přesnou cestu k tomuto rozšíření. Mám podezření, že si ho tam taháš přes synchronizaci - jsi do Chromu přihlášen svým účtem/gmailem?

Ahoj, dej log z AdwCleaneru, ať přesně víme, kde se ten náš PUP schovává.