VIRY.CZ

Ahoj, za mě to též bude ok. Podle vseho to bude zero trust DNS sluzba.
https://www.reddit.com/r/techsupport/co ... ice_after/

Ahoj, jen prochazim kolem...

Pokud nepouzivate ScreenConnect, odinstaluj ho. Hodne soucasnych utoku dneska probiha tak, ze utocnici obet presvedcijou, aby spustila/nainstalovala nejaky RMM tool (TeamViewer, AnyDesk, ...) a pak na PC obeti sami klikaji.

Dalsi bordel tam taky nevidim, tady bohuzel ...

Po ručním smazání klíče je problém vyřešen?

Edge Extension: (Crypto Web Extension) je rozšíření do prohlížeče, ohledně podpisu smluv s ministerstvem školství, takže v tom bych bubáka doufám neviděl. Manželka to musí mít aby se mohla ověřit u nich v systému.
Ok, tím pádem cajk.

Ukradený archiv jsem prohledal, je to teda dost hustý, ale nic ...

Když vyhledáš soubory a pak registry, vidím jen obsah z hledání registrů. Vyhledej ještě jednou soubory.

Otevři regedit a danou hodnotu (plnkhmnoajbfccclonaeepohggeolcih) v tomto klíči ručně smaž.

Hmm, divné. AdwCleaner byl koupen společností Malwarebytes, tak jsem čekal, že budou mít podobný/stejný detekční engine. Dobrá, spusť FRST, do textového pole vlož a klikni na Search Files. Pokud nic nenajde, tak i Search Registry. Obsah search.txt pak pošli.

Ano, www.neslape.cz patří k nám - u mě webovka funguje.

CBS log jsem nenašel, ale nepotřebuju ho. Díky za vzorek, sedím v tom pár hodin a je to dosti komplexní kód s plno zajímavostmi. Kluci měli v reálném čase přístup na tvůj PC - vidíme to např. v tom, že k počáteční infekci došlo 28.2., ale ...

Zatím fixlist na dočištění. Ke zbytku se vyjádřím za chvíli.

Start
CloseProcesses:
HKLM\Software\Policies\...\system: [UploadUserActivities] 0
CHR StartupUrls: Default -> "hxxp://search.conduit.com/?ctid=CT3289075&SearchSource=48&CUI=UN49515189314555504&UM=1","hxxp://www.mystartsearch.com/?type=hp ...

Díky za vzorky, večer/zítra je prostuduju. Link jsem smazal, jen pro jistotu.

Ještě budeme dočisťovat, ale havěť už neběží, takže můžeš měnit hesla. Budu mít časoprostor nejdřív večer. V mezičase zatím proskenuj PC nějakým reputable toolem třeba ESET Online Scannerem nebo MBAM.

Pouzivas jen ...

Proskenuj PC pomocí MBAM. Rád bych se dozvěděl přesnou cestu k tomuto rozšíření. Mám podezření, že si ho tam taháš přes synchronizaci - jsi do Chromu přihlášen svým účtem/gmailem?

Ahoj, dej log z AdwCleaneru, ať přesně víme, kde se ten náš PUP schovává.

Soubor nenalezen (link jsem smazal jen pro jistotu... ale mam ho ulozeny). Zkus mi ten archiv vytvorit jeste jednou, ale trosku jinak. Nezajimaji me mega velke soubory (predpokladam, ze budou v C:\Intel\logs ), takze mi do zipu dej jen ty mensi. No a duvod toho zaheslovani jsou antivirove enginy na ...

Super, to vypada hezky. Dej nam prosim te jeste nove logy FRST.txt i Addition.txt

Podarilo se ti zaheslovany archiv z C:\Intel nekam uploadnout?

Pouzivas jen Windows Defender - zkontroluj si, ze v nem nejsou vyjimky (casto si malware dela vyjimky v antivirech, aby jejich slozku ignoroval).

Jsou to soubory. Ne složky
Se zmenou hesel bych jeste chvili vydrzel... ty kriticke (banky/crypto) z jineho PC klidne zmen.

Reinstal jak chceš. Ja si myslim, ze to odvirovat dokazeme, jen to nebude pristim fixlistem

Ahoj,
nase diakritika je pro keyloggery problem, proto jsi pozoroval priznaky, jake jsi pozoroval. Od 28.2. si nekdo nechaval posilat vsechno, co na tomto PC pises/delas. Po kompletnim odvirovani zmen vsechny hesla (ukradli ti i ty ulozeny v prohlizecich)... ale az bude PC cistej... JaRon ti da ...