Skocz do zawartości

Rekomendowane odpowiedzi

Witam.

 

Dziś Orange za pośrednictwem Orange CyberTarcza zablokowało mi internet z podejrzeniem trojana Remcos w sieci domowej.

 

https://zapodaj.net/37acb8acd907e.jpg.html

 

Możliwość odblokowania była i tak też zrobiłem.

 

Wysłali instrukcję aby ściągnąć program Arcabit https://www.arcabit.pl/download/orange/arcabitsetupf2_orange.exe

 

Nie wiem czy to mój PC czy laptop, ale ilość procesów w PC się raczej nie zmieniła, bo kontroluję od zawsze.

 

Nie zauważyłem też żadnych podejrzanych działań. Kaspersky Anti-Virus nic nie wykrywa.

 

Ze szczegółów wyczytałem, że pierwsza aktywność była 18 marca. Nic mi nie skradziono do tej pory.

 

W sieci domowej jest jeszcze tablet, TV samsung i komórka ale na tych urządzeniach korzystam tylko z YouTube.

 

Zanim dostosuję się do ich instrukcji chciałem zasięgnąć pomocy, gdzie nie raz już ją dostałem.

 

 

Co robić ? Od czego zacząć ?

 

Pozdrawiam

Edytowane przez fabulus

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Odpal frst (jak nie masz, to ze strony bleeping computer możesz pobrać), zrób logi: frst.txt, addition.txt, wgraj na jakiś serwis do dzielenia się plikami (google drive, uploadfile.pl, wetransfer, itp.), wrzuć linki, ogarnięte osoby sprawdzą co tam będzie widać

 

Jeśli masz więcej sprzętów w domu podpiętych do sieci, to je także przeskanuj.

 

dostałeś jakąś "fakturę", informację o "przesyłce" jako spakowany plik exe/vbs?

 

z informacji wynika, że można zdalnie sterować systemem, odpalać kamerkę i mikrofon, itd.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Ciekawe, bo też dostałem takie info.

Ale trochę mnie to dziwi. Taka sama data pierwszej aktywności jak u @fabulus - 18.03.

A data ostatniej aktywności - podany czas, w którym nikogo nie było w domu (z dużym marginesem) i nie było żadnego włączonego komputera z Windowsem, poza domowym serwerkiem Linuxowym.

Możliwe, że im się ta detekcja myli albo przypisali to do niewłaściwych kont?

Jak wykrywają tego Remcosa?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Z tej całej paniki zapomniałem o instrukcji postępowania.

 

PC:

 

FRST https://wrzucplik.pl/pokaz/1995878---25dc.html

 

Addition https://wrzucplik.pl/pokaz/1995880---nihx.html

 

Shortcut https://wrzucplik.pl/pokaz/1995881---cppi.html

 

 

Laptop: Tam może być syf, bo to rodzinny laptop.

 

FRST https://wrzucplik.pl/pokaz/1995899---eztq.html

 

Addition https://wrzucplik.pl/pokaz/1995901---3zyx.html

 

Shortcut https://wrzucplik.pl/pokaz/1995902---kjfy.html

 

 

Z allegro coś się zamawiało, otwierałem pocztę z PC ale to kontrolowałem. Nie raz były informacje o paczce ale wiedziałem, że fake bo nic nie zamawiałem w tym czasie, więc szło do kosza od razu.

 

Faktury tylko od Orange, to co pobrałem zostało wydrukowane i opłacone.

 

Pozdrawiam

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Również otrzymałem takie informacje. Data pierwszej aktywności 20.03.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Też właśnie coś takiego dostałem przed chwilą.

Robię skan według instrukcji przez program Arcabit.

Wtf?!

Edytowane przez snoopher

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Może Orange szaleje. Na forum nic nie znalazłem o tym trojanie a nagle już ze mną włącznie cztery osoby.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

A co takiego robiłeś w tym momencie?

Bo ja pierwszy raz odpaliłem Warzone CoDa I instalowały się aktualizacje. Nagle wywaliło z battleneta i po wejściu w chroma już mi tarczą Orange machał.

 

Pierwsza aktywność tego czegoś: 2020-03-19 11:59:12

Ostatnia aktywność: 2020-04-03 18:25:27

Edytowane przez snoopher

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Dostałem tą samą informację jakieś 30-40 minut temu, 6 incydentów, pierwsza aktywność 03/04 o 15:20, ostatnia 03/04 o 17:16, wszystko z adresu IP 109.202.103.170, który po szybkim sprawdzeniu na necie często jest zgłaszany jako ataki. Jedynie torrenty pobierały się u mnie w tym czasie, nic więcej nie było robione. Avira zupełnie nic nie wykryła.

Edytowane przez kmdziak

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

@ snoopher

 

PC był włączony ale nic się nie działo. Na laptopie szwagier coś czytał na wp czy interi. Na samsung TV dziecko Youtube oglądało i nagle padł internet gdzieś około 15:20 pare i to była ostatnia aktywność.

Edytowane przez fabulus

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Tylko teraz pytanie czy ten ich Arcabit po skanie przywróci mi dostęp.

Znając Orange jeśli się coś dupnie przed weekendem to będę do minimum poniedziałku bez neta.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Tylko teraz pytanie czy ten ich Arcabit po skanie przywróci mi dostęp.

Znając Orange jeśli się coś dupnie przed weekendem to będę do minimum poniedziałku bez neta.

 

Dostęp możesz włączyć sobie z powrotem sam, wejdź na cert.orange.pl/cybertarcza.

Edytowane przez kmdziak

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Dostęp możesz włączyć sobie z powrotem sam, wejdź na cert.orange.pl/cybertarcza.

 

 

Dzięki, nie zauważyłem tej opcji.

 

Na razie skanuje dysk, a czy coś znajdzie to nie wiem.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

udało się komuś coś zadziałać w temacie?

 

Proponuję po prostu przeskanować komputer dla pewności antywirusem i zablokować w firewallu (lub routerze jeśli taka możliwość) wszystkie połączenia z IP, z którego te próby ataków były, czyli "Docelowy adres IP" w raporcie cybertarczy.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

@fabulus

 

Wrzuć te logi z FRST jako wklejki na pastebin.com to je przejrzę bo z tych Twoich linków to nie mogę (przynajmniej ja) ani otworzyć ani pobrać.

 

Edit. Nieważne, Edge pobiera.

 

Edit2. W logach nie widzę nic szkodliwego.

Edytowane przez Gość

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Witam serdecznie,

 

u mnie temat podobny czy to nie jest jakaś masówka w celi wciśnięcia użytkownikom antywirusa?

 

FRST

Mój link

 

Addition

Mój link

 

Shortcut

Mój link

Edytowane przez kepa416

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Wcale bym się nie zdziwił. Ja mam net od Netii (na łączu Orange) od gdzieś 15 lat i jeszcze ani razu nie miałem reklamy od CyberTarczy Netii :E .

Jakby co można przeskanować systemy przy użyciu adwcleaner i malwarebytes Mój link.

Edytowane przez Gość

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

@ toska78

 

Rozumiem, że logi czyste. Czyli jak to interpretować ?

 

Ten trojan z tego co pisze w necie, to tylko na Windows, więc urządzenia na Android lub TV z Tizen raczej wolne od tego.

 

Gdyby Orange w twarz mi tą tarczą nie walnął, nic bym nie podejrzewał, bo komp zachowuje się normalnie jak zawsze od postawienia win w 2015 roku.

 

Dziwna sprawa.

 

Jak ktoś przeskanuje tym arcabit, to może dać znać.

 

Google==>Arcabit "Najlepszy Polski Program Antywirusowy"

 

Może to reklama od Orange jak kepa416 napisał :lol2:

 

 

Edit:

 

Gdy wejdę na stronę www.cert.orange.pl/cybertarcza to jest więcej szczegółów

 

Liczba zaobserwowanych incydentów: 1058

Data i godzina zaobserwowania pierwszej aktywności: 2020-03-18 14:50:00

Data i godzina zaobserwowania ostatniej aktywności: 2020-04-03 17:50:22

• Protokół sieciowy: TCP

• Źródłowy adres IP: 79.185.187.

• Źródłowy port: 51005

• Docelowy adres IP: 109.202.103.170

• Docelowy port: 62042

• Protokół aplikacyjny: none

 

Jak widać o 17:50 nowu coś się działo.

 

Może ten adres ip 109.202.103.170 jakoś zablokować.

 

W monitor zasobów==>sieć z niczym takim mi się nie łączy.

 

Wpisując netstat w cmd też nie mam takiego połączenia.

 

Na razie odłączyłem wszystko w sieci domowej prócz, PC i zobaczymy czy i kiedy będzie kolejna aktywność.

Edytowane przez fabulus

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

@ toska78

 

Rozumiem, że logi czyste. Czyli jak to interpretować ?

 

 

Takie coś znalazłem Mój link.

 

 

Gdy wejdę na stronę www.cert.orange.pl/cybertarcza to jest więcej szczegółów

 

Liczba zaobserwowanych incydentów: 1058

Data i godzina zaobserwowania pierwszej aktywności: 2020-03-18 14:50:00

Data i godzina zaobserwowania ostatniej aktywności: 2020-04-03 17:50:22

• Protokół sieciowy: TCP

• Źródłowy adres IP: 79.185.187.

• Źródłowy port: 51005

• Docelowy adres IP: 109.202.103.170

• Docelowy port: 62042

• Protokół aplikacyjny: none

 

 

Te adresy i porty dotyczą konkretnego komputera czy ogólnie?

Można spróbować zablokować w routerze.

Ja np. musiałem odblokować 2 porty w routerze bo bez tego wywalało z gry sieciowej World War Z maksymalnie po kilku minutach.

Edytowane przez Gość

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

tak mnie zastanawiają te linijki w sekcji firefox z "<== UWAGA", do plików cfg i js

co takiego w nich siedzi?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

tak mnie zastanawiają te linijki w sekcji firefox z "<== UWAGA", do plików cfg i js

co takiego w nich siedzi?

Prawidłowe wpisy , od antywirusa Kaspersky.

 

FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\kl_prefs_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.js [2019-12-03] <==== UWAGA (Linkuje do pliku *.cfg)

FF ExtraCheck: C:\Program Files\mozilla firefox\kl_config_62fbb8f7_c917_4cf7_957a_aad2b8fa768c.cfg [2019-12-03] <==== UWAGA

 

kl = Kaspersky Lab

Edytowane przez Gość

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Problem jest uTorrent. Macie zainstalowany? Malwarebytes wykryło mi połączenie z Tym IP z wątku

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Problem jest uTorrent. Macie zainstalowany? Malwarebytes wykryło mi połączenie z Tym IP z wątku

@fabulus np. ma zainstalowanego.

 

µTorrent (HKLM-x32\...\uTorrent) (Version: 3.2.3.28705 - BitTorrent Inc.)

Edytowane przez Gość

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

  • Tematy

  • Odpowiedzi

    • Te liczby są teraz inne. II próg jest od 120k, a stawki procentowe też się zmieniły, ale nie wiem na jakie, bo wypisałem się z tego systemu.
    • Biogaz raczej się nie zepnie tutaj. Weźmy przykład z Warszawy: Warszawa ma 2 elektrociepłownie (+ 2 ciepłownie odpalane tylko w zimę przy mrozach jak 2 głównie nie wyrabiają). Oczywiście prąd też Warszawa dobiera z ogólnopolskiej sieci, bo tego z EC by nie starczyło. Żerań i Siekierki mają łącznie 4 GW mocy cieplnej i 1,4 GW elektrycznej. Na Żeraniu jest nowy blok gazowy ok 325 MW mocy cieplnej i prawie 500 MW elektrycznej, czyli 8,1% ciepła i 36% prądu. Znalazłem artykuł, że ma spalać 500 do 620 mln m3 gazu ziemnego rocznie. Według tabelki z wiki https://pl.wikipedia.org/wiki/Biogaz najlepszą wydajność daje kukurydza powiedzmy, że do 10 tyś m3 z hektara. Doliczmy jeszcze, że biogaz to max 75% metanu, więc załóżmy, że zamiast 500 gazu ziemnego trzeba by dać 670 mln m3 biogazu, czyli produkcję. Czyli przy samych optymalnych założeniach co do plonów i wydajności na jeden blok gazowy trzeba poświęcić 670 km2 (67 tyś ha) upraw na dobrych ziemiach na których wyroście kukurydza. Cała Warszawa ma administracyjnie 517 km2
    • https://twitter.com/visegrad24/status/1773412436940374315?t=q26K_I2J9wDl3I5LRHiSrQ&s=19  
    • w pełni wyczerpując temat: Włączenie opcji TPM 2.0 Security w BIOSie na starszych laptopach z procesorami Intel 8. generacji i systemem Windows 10 64-bit może mieć wpływ na zabezpieczenia systemu, ale głównie w kontekście niektórych zaawansowanych funkcji bezpieczeństwa i funkcji uwierzytelniania. Oto kilka możliwych korzyści z włączenia TPM 2.0: - BitLocker i szyfrowanie danych: Włączenie TPM 2.0 może umożliwić skuteczniejsze korzystanie z funkcji szyfrowania danych, takich jak BitLocker. BitLocker wykorzystuje moduł TPM do przechowywania klucza szyfrowania, co może zwiększyć bezpieczeństwo danych na dysku. - Funkcje bezpieczeństwa systemu Windows: System Windows może korzystać z funkcji TPM do różnych zastosowań, takich jak uwierzytelnianie sprzętowe, uwierzytelnianie systemowe i uruchamianie zaufanej ścieżki (Trusted Platform Module). - Zwiększone bezpieczeństwo autoryzacji: Włączenie TPM może wpłynąć na zabezpieczenia autoryzacji na poziomie sprzętowym, co może zapobiegać niektórym atakom związanym z próbami przejęcia konta użytkownika. - Zarządzanie kluczami: TPM może być używany do generowania, przechowywania i zarządzania kluczami kryptograficznymi, co może być przydatne w przypadku aplikacji wymagających wysokiego poziomu bezpieczeństwa. Jednakże, jeśli użytkownik korzysta jedynie z zwykłego hasła w swoim profilu systemu Windows, to włączenie TPM 2.0 może nie mieć znaczącego bezpośredniego wpływu na zabezpieczenia jego systemu, ponieważ TPM jest bardziej przydatny w połączeniu z zaawansowanymi funkcjami uwierzytelniania i szyfrowania danych. W takim przypadku włączenie TPM może być bardziej korzystne, gdy użytkownik korzysta z funkcji takich jak BitLocker lub wymagane są zwiększone zabezpieczenia na poziomie sprzętowym.
    • Manipulując krzywą napięć i taktowania, możemy też jednocześnie wykonać OC. UV nie musi wiązać się z obniżeniem wydajności. Można uzyskać jedno i drugie zarazem np podnosząc max taktowanie i jednocześnie obniżając dla niego napięcie. Poza samym podniesieniem taktowania, jednoczesne obniżenie napięcia pozwala obniżyć nieco temp rdzenia co też pozwoli utrzymać dłużej wysokie takty. Mamy więc 3 zalety za jednym posunięciem. Oczywiście obniżając napięcie dużego OC nie uzyskamy ale wymierne korzyści są na innych polach. 
  • Aktywni użytkownicy

×
×
  • Dodaj nową pozycję...