Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz
Fake stranky v celej sieti
Moderátor: Moderátoři
Fake stranky v celej sieti
Riesim siet, kde bol jeden PC napadnuty Ransomware-om a okrem toho, ze sa zasifroval napadnuty PC, ransomware zasifroval aj zdielany HDD v sieti. Toto som uz vyriesil, PC dostalo format, HDD je uz mimo siete avsak riesim iny problem, ktory s tym moze suvisiet.
V sieti su PC s Windows 7, iMacy a MacBooky a stava sa, ze ked si niekto da nacitat nejaku stranku, tak sa mu nacita fake page (vacsinou nejaka reklama). Tu zatvorim a po opatovnom nacitani mojej ziadanej stanky je vsetko uz ok. Potom je urcity cas klud (desiatky minut) a potom zas pri poziadavke o nacitanie nejakej stranky obavi nejaka fake page.
Robi to ako na windowsoch tak na apple zariadeniach. Dokonca na Apple som si vsimol ze to robi aj v chrome aj v safari. Malwarebyte na apple nic nenasiel a medzi pluginmi v prehliadaci tiez nic nie je. Moze to byt niekde v routri? Stretol sa s tym niekto? Router je Mikrotik 1016-12G.
V sieti su PC s Windows 7, iMacy a MacBooky a stava sa, ze ked si niekto da nacitat nejaku stranku, tak sa mu nacita fake page (vacsinou nejaka reklama). Tu zatvorim a po opatovnom nacitani mojej ziadanej stanky je vsetko uz ok. Potom je urcity cas klud (desiatky minut) a potom zas pri poziadavke o nacitanie nejakej stranky obavi nejaka fake page.
Robi to ako na windowsoch tak na apple zariadeniach. Dokonca na Apple som si vsimol ze to robi aj v chrome aj v safari. Malwarebyte na apple nic nenasiel a medzi pluginmi v prehliadaci tiez nic nie je. Moze to byt niekde v routri? Stretol sa s tym niekto? Router je Mikrotik 1016-12G.
Re: Fake stranky v celej sieti
vo vseobecnosti by si mal:
zmenit heslo na routri, hlavne ak mas admin:admin
skontrolovat/zmenit nastavenie DNS na routri
skontrolovat DNS aj na pocitacoch
vyprazdnit vsetky cache na vsetkych prehliadacoch
zmenit heslo na routri, hlavne ak mas admin:admin
skontrolovat/zmenit nastavenie DNS na routri
skontrolovat DNS aj na pocitacoch
vyprazdnit vsetky cache na vsetkych prehliadacoch
FRST |ADWCleaner |MBAM |CCleaner |AVPTool
V prípade spokojnosti je možné podporiť fórum https://platba.viry.cz/payment/
V prípade spokojnosti je možné podporiť fórum https://platba.viry.cz/payment/
Re: Fake stranky v celej sieti
- Meno a heslo na routri nebolo admin/admin ale aj tak som ho zmenil
- Skusal som DNS poskytovatela aj Googlu, stale rovnaky vysledok
- Na Macu vidim ze DNS server je zadefinovany router, co je ok
- Cache prehliadacov bola vycistena
Problem sa stale objavuje. Je to dost divne kedze sa to objavuje bez rozdielu na Windowsoch, Macbookoch a tiez sa to objavilo v iPhone aj na Androide.
Co by som mal vyskusat ako dalsie?
Nejaky analyzator alebo cistic siete?
- Skusal som DNS poskytovatela aj Googlu, stale rovnaky vysledok
- Na Macu vidim ze DNS server je zadefinovany router, co je ok
- Cache prehliadacov bola vycistena
Problem sa stale objavuje. Je to dost divne kedze sa to objavuje bez rozdielu na Windowsoch, Macbookoch a tiez sa to objavilo v iPhone aj na Androide.
Co by som mal vyskusat ako dalsie?
Nejaky analyzator alebo cistic siete?
Re: Fake stranky v celej sieti
na tych Win masinach by som skusil zoek https://forum.viry.cz/viewtopic.php?f=1 ... k#p1500010
FRST |ADWCleaner |MBAM |CCleaner |AVPTool
V prípade spokojnosti je možné podporiť fórum https://platba.viry.cz/payment/
V prípade spokojnosti je možné podporiť fórum https://platba.viry.cz/payment/
Re: Fake stranky v celej sieti
Vyskusam, aj ked pre mna je dolezitejsie ako to dostat z Apple zariadeni, ktorych je podstatne viac ako tych s windows.
Len upresnim, ze "virus" vzdy otvara stranku "http://debbton.com/afu.php?zoneid=1410276" a ta nasledne automaticky otvori stranku s reklamou.
upravene JaRon
Len upresnim, ze "virus" vzdy otvara stranku "http://debbton.com/afu.php?zoneid=1410276" a ta nasledne automaticky otvori stranku s reklamou.
upravene JaRon
Re: Fake stranky v celej sieti
stranku treba zablokovat
FRST |ADWCleaner |MBAM |CCleaner |AVPTool
V prípade spokojnosti je možné podporiť fórum https://platba.viry.cz/payment/
V prípade spokojnosti je možné podporiť fórum https://platba.viry.cz/payment/
Re: Fake stranky v celej sieti
Sorry za vstup.
Skus otestovat, ci to robi v inych sietach, kazdopadne tipujem to na problem s routrom. Ak je to mozne, urob factory reset routra, aktualizuj ho na poslednu verziu firmware a nasledne ho nastav rucne.
Skus otestovat, ci to robi v inych sietach, kazdopadne tipujem to na problem s routrom. Ak je to mozne, urob factory reset routra, aktualizuj ho na poslednu verziu firmware a nasledne ho nastav rucne.
Absolvent skoly pre novacikov
E-mail: conder (zavinac) forum.viry.cz
Ak nieco nie je jasne, pytaj sa. Odporucam mat vzdy zalohovat dolezite data (dokumenty, fotky a ine).
Fixlisty a ine scripty su pisane len pre konkretny PC. Nepouzivajte ich na inych zariadeniach, inak hrozi poskodenie systemu alebo strata dat.
Ak mate podobny problem ako iny uzivatel, prosim, zalozte si vlastnu temu.
V pripade spokojnosti je mozne podporit forum. Dakujeme!
E-mail: conder (zavinac) forum.viry.cz
Ak nieco nie je jasne, pytaj sa. Odporucam mat vzdy zalohovat dolezite data (dokumenty, fotky a ine).
Fixlisty a ine scripty su pisane len pre konkretny PC. Nepouzivajte ich na inych zariadeniach, inak hrozi poskodenie systemu alebo strata dat.
Ak mate podobny problem ako iny uzivatel, prosim, zalozte si vlastnu temu.
V pripade spokojnosti je mozne podporit forum. Dakujeme!
Re: Fake stranky v celej sieti
Jakym zpusobem byl PC ransomwarem infikovan? RDP, priloha mailu...?
Mas na mikrotiku silne heslo, respektive sledujes failed login attempts?
Nemohlo dojit ke kompromitaci mikrotiku prostrednictvim napadene stanice (nebylo heslo k mikrotiku ulozene napr. ve WinBoxu napadene stanice)?
Pokud problem resis na vsech platformach (Win, iOS, Android), vypada to na problem s mikrotikem. Pokud neni doba od incidentu nekolik mesicu, mrkni do logu na mikrotiku.
Format je skoda... casto se da neco vytahnout z event vieweru. Nejake blizsi info o pouzitem ransomwaru mas (nazev/obsah souboru s instrukcemi, samotnou binarku, priponu zasifrovanych souboru, konktaktni mail, ...)?
Mas na mikrotiku silne heslo, respektive sledujes failed login attempts?
Nemohlo dojit ke kompromitaci mikrotiku prostrednictvim napadene stanice (nebylo heslo k mikrotiku ulozene napr. ve WinBoxu napadene stanice)?
Pokud problem resis na vsech platformach (Win, iOS, Android), vypada to na problem s mikrotikem. Pokud neni doba od incidentu nekolik mesicu, mrkni do logu na mikrotiku.
Format je skoda... casto se da neco vytahnout z event vieweru. Nejake blizsi info o pouzitem ransomwaru mas (nazev/obsah souboru s instrukcemi, samotnou binarku, priponu zasifrovanych souboru, konktaktni mail, ...)?
Pokud je cokoliv nejasného, ihned se ptej.
V případě spokojenosti prosím podpořte forum.
Pro dotazy, které se nehodí na forum, je možné využít altrokzavináčforum.viry.cz
Máš-li chuť pomáhat návštěvníkům tohoto fora, přihlas se do naší školičky.
V případě spokojenosti prosím podpořte forum.
Pro dotazy, které se nehodí na forum, je možné využít altrokzavináčforum.viry.cz
Máš-li chuť pomáhat návštěvníkům tohoto fora, přihlas se do naší školičky.
Re: Fake stranky v celej sieti
Skusim zodpovedat na vsetky otazky:
- do infikovaneho PC bol az doteraz vytvoreny RDC pristup z vonku na standardnom porte, PC malo heslo, ale aj tak je dost pravdepodobne ze sa virusm mohol dostat do PC prave tadialto.
- heslo na mikrotiku bolo dost silne, ale preistotu som ho uz znova zmenil.
- winbox na napadnutom PC nebol, ale v mikrotiku bolo nastavene ziskavanie DNS zo siete automaticky, tym si Mikrotik osvojil nejake bulharske DNS, to som uz vymazal a DNSka som na routri zadal rucne.
- prekvapujuco logy na Miktoriku nie su dlhsie ako par hodin a tam nic nebolo.
- ukazka zakryptovaneho suboru https://drive.google.com/open?id=1C__yc ... Wo5MXW2xKB
Ked som nastavil rucne DNS na tie od IPS a sekundarne z GOOGLE a zaroven zablokoval na routrovom firewalle adresu "deloton.com" tak je klud. Ale akonahle zrusim firewall na tuto adresu, tak to tu je znova. Aj ked DNS na rourty budu nastavene v poriadku. Na zaklade toho usudzujem, ze stale je nieco v sieti, ale neviem kde by to mohlo byt.
- do infikovaneho PC bol az doteraz vytvoreny RDC pristup z vonku na standardnom porte, PC malo heslo, ale aj tak je dost pravdepodobne ze sa virusm mohol dostat do PC prave tadialto.
- heslo na mikrotiku bolo dost silne, ale preistotu som ho uz znova zmenil.
- winbox na napadnutom PC nebol, ale v mikrotiku bolo nastavene ziskavanie DNS zo siete automaticky, tym si Mikrotik osvojil nejake bulharske DNS, to som uz vymazal a DNSka som na routri zadal rucne.
- prekvapujuco logy na Miktoriku nie su dlhsie ako par hodin a tam nic nebolo.
- ukazka zakryptovaneho suboru https://drive.google.com/open?id=1C__yc ... Wo5MXW2xKB
Ked som nastavil rucne DNS na tie od IPS a sekundarne z GOOGLE a zaroven zablokoval na routrovom firewalle adresu "deloton.com" tak je klud. Ale akonahle zrusim firewall na tuto adresu, tak to tu je znova. Aj ked DNS na rourty budu nastavene v poriadku. Na zaklade toho usudzujem, ze stale je nieco v sieti, ale neviem kde by to mohlo byt.
Re: Fake stranky v celej sieti
pri daných poctoch a zostave pocitacov je zrejme, ze ide o isty druh firmy,
preto by som doporucil neslape.cz
Kedze je zrejme, ze siet nie je cista, bude potrebne najprv urcit zdroj nakazy:
Win alebo Mac kedze ide o firmu, nemal by byt problem investovat
do nejakého AV pre MAC https://forum.viry.cz/viewtopic.php?f=29&t=151839
odomna vsetko, kolegovia mozno doplnia
preto by som doporucil neslape.cz
Kedze je zrejme, ze siet nie je cista, bude potrebne najprv urcit zdroj nakazy:
Win alebo Mac kedze ide o firmu, nemal by byt problem investovat
do nejakého AV pre MAC https://forum.viry.cz/viewtopic.php?f=29&t=151839
odomna vsetko, kolegovia mozno doplnia
FRST |ADWCleaner |MBAM |CCleaner |AVPTool
V prípade spokojnosti je možné podporiť fórum https://platba.viry.cz/payment/
V prípade spokojnosti je možné podporiť fórum https://platba.viry.cz/payment/
Re: Fake stranky v celej sieti
S neslape.cz som to uz riesil a dany ransomware aktualne nie je mozne dekryptovat, takze preto bol urobeny ten format HDD.
Co sa tyka Anviru pre MAC, prebehol som zariadenia cez Bitdefender a Malwarebyte a boli ciste.
Skor si myslim ze to bude v nejakom zariadeni ako maly router, ktory robi podsiete, teoreticky nejaky mobilny telefon.
Co sa tyka Anviru pre MAC, prebehol som zariadenia cez Bitdefender a Malwarebyte a boli ciste.
Skor si myslim ze to bude v nejakom zariadeni ako maly router, ktory robi podsiete, teoreticky nejaky mobilny telefon.
Re: Fake stranky v celej sieti
pisal si, ze Win masin nemas vela, ak si urobil zoek, skusil by som este MBAR a TDSSKiller, pravdepodobnost,
ze to robi nejaka Win masina je vysoka
ze to robi nejaka Win masina je vysoka
FRST |ADWCleaner |MBAM |CCleaner |AVPTool
V prípade spokojnosti je možné podporiť fórum https://platba.viry.cz/payment/
V prípade spokojnosti je možné podporiť fórum https://platba.viry.cz/payment/
Re: Fake stranky v celej sieti
Ok, vyskusam a dam vediet. Potrva to kym to vsetko prebehnem.