Zjištění původu napadení systému

Zjištění původu napadení systému
« kdy: 15. 01. 2019, 12:28:54 »
Omlouvam se předem za cestinu, pripadne za pojmenovani nekterych funkci o kterých vim jen zřídka něco.

Mam problém s ovladaci na všech zarizenich, v novem pc jsem identifikoval během první hodiny spusteni zdvojeni ovladaci, pripadne i4x, vztvoreni neznamich zarizeni, stremovani mych informaci, dat a vseho mozneho prave po drive zminenych sitich jako je pocinaje wifi, nasledne vpn, nasledne sirokopasmovem pripojeni, bluetooth, a konecne mnou naprosto neznamim radio prijmacem-vysilacem.
Podobne temner stejne ovladace jsem identifikoval jiz drive, cca 4 roky, az doted na hodne zarizenich, které vlastním, a jde o chod systemu, a nasledne site, vlastnosti graficeho adapteru a pameti ram.

Ovladace ze zakladu nainstalovany jsou oznaceny v podrobnostech jako zarizeni nainstalovano- pote druhym zarizeni spusteno. Ja mam během prvních dvou az tri hodin tech udalosti třeba dvanact a s nepochopitelnyma {mozna jen mnou} vlastnostma, které odkazuji na Velmi peclive skryte systemove soubory kdesi v podsistemu na disku, nebo mezi ovladaci systemu win. Po prvním spusteni všech systemu se sami pridaji naplanovane ulohy, které sice mohu smazat, mohu s nimi manipulovat, jenze po dalším resetu se vytvori stejne. jedna se prevazne o zakazi update ovladacu.

Kontorolovany update všech anti-hrozeb programu, pripadne treti stranou  kontrolovanou instalaci s výsledkem 0-0x0 a vytvoreni kopie pro mne-uzivatele která se tvari jako update v poradku atak dále. nemam sanci jakkoliv se pripojit na vpn, nebo proxi, je to mozna i tim ze během prvního dne se vytvori nekdy i vice nez 6 dalších uctu, které jsou nadrazeny nade mnou jako administrátorem a i nad systémem. Pokud se pokusim o napravu, pripadne opravu v registrech, nebo zajisteni nejakou jinou cestou, zakaze se mi dokonce i cteni obsahu všech slozek, nespustim start a vse kolem toho.

Prikazovy radek nespustim ani při obnove systemu, nejsem pry vlastníkem opravneni. Zalohu na disku nebo z usb také nespustim, napise mi to chybu systemu.  a tak je to všude. Zkousel jsem velky počet antyvyru, antyspiware, ruzne vyhledavace rootkytu, nic nikdy nenaslo, nedivim se jak sem zminoval, prepis který e nekde v úlohách zakazuje jiz první update a pokud se jedna o takovyto zminovany pristup, není to zadny vyrus, proto zadam jestli ste se s necim podobnym někdo setkal a zda dokážete poradit jak se toho zbavit, zde v dome to nemam jen ja.
« Poslední změna: 15. 01. 2019, 18:49:30 od Petr Krčmář »


technomaniak

Re:re zjisteni puvod napadeni systemu,
« Odpověď #1 kdy: 15. 01. 2019, 12:38:03 »
No jestli používáš počítač stejným způsobem jako píšeš příspěvky, tak to se nedivím, co se ti děje.

Vyser na počítače, ušetříš sobě a ostatním čas a nervy. Vždyť ty máš elementární problém vůbec něco definovat zadání. Nějak takhle se projevuje schizofrenie.

David1234

Re:re zjisteni puvod napadeni systemu,
« Odpověď #2 kdy: 15. 01. 2019, 12:43:26 »
Jakými diagnostickymi metodami jsi přišel na to co píšeš? Jak jsi k tomu došel? Na základě čeho?

Jinak doporučuji přeinstalovat operační systém. Pokud máš podezření na rootkit tak v tvém případě doporučuji rovnou výměnu celého počítače.

PetrM

Re:re zjisteni puvod napadeni systemu,
« Odpověď #3 kdy: 15. 01. 2019, 12:43:52 »
Aha. Takže
1) Zařízení je v počítačích hodně a ne o všech jako uživatel víš - třeba o senzorech teploty, PCI root complexu, ...
2) Například USB může mít tři řadiče, za nima ještě nějaký ten hub, který to roztahá na porty - ty žiješ v představě jednoho USB řadiče a on je tam ten brouk třeba 5x, čtyřjádrový procesor vidím jako 4x jednojádro,...
3) Pokud se v HW nevyznáš (a je vidět, že expert nejsi, jinak bys o neznámých zařízeních a víc instancích něco věděl), jak identifikuješ "neznámý druh rádia"?
4) Systém potřebuje některý věci ke svýmu provozu. To, že nejsou připojený kabelem jako monitor nebo myš neznamená, že tam nejsou. Pokud zakážeš něco, co systém potřebuje, spadne. To je jednoduchý.
5) Pokud nechceš šmírování a změny pod rukama, proč tam máš Windows?
6) Pokud tě to tak tíží, proč si o tom něco nenastuduješ? Aspoň budeš vědět, kde hledat a o čem píšeš...

No jestli používáš počítač stejným způsobem jako píšeš příspěvky, tak to se nedivím, co se ti děje.

Vyser na počítače, ušetříš sobě a ostatním čas a nervy. Vždyť ty máš elementární problém vůbec něco definovat zadání. Nějak takhle se projevuje schizofrenie.

+1

jeban

Re:re zjisteni puvod napadeni systemu,
« Odpověď #4 kdy: 15. 01. 2019, 12:58:06 »
Věř že jsi nejspíš malá ryba, nikdo po tobě pravděpodobně nejde. Pokud se bojíš, používej jeden počítač s win na hry, na něm si nainstaluj nějaký slušný antivir/fw třeba bitdefender a co je v HW neřeš.

A na komunikaci se světem, emaily, banky apod. používej počítač druhý, třeba si tam nainstaluj nějaký linux, např. ubuntu, poslední verzi a updatuj denně.

Prostě to nějak rozděl, co je podstatné a co je zábava, o co můžeš a o co nechceš přijít. To tě třeba uklidní...  A zálohovat, zálohovat a zálohovat.     


Kuba

Re:re zjisteni puvod napadeni systemu,
« Odpověď #5 kdy: 15. 01. 2019, 13:26:03 »
Tak tohle je už těžká paranoia, snad takhle nikdy neskončím :).

KuntHistorik

Re:re zjisteni puvod napadeni systemu,
« Odpověď #6 kdy: 15. 01. 2019, 13:30:07 »
co je podsisku?
Jinak doporučuji si pořídit operační systém Windows s číslem 7 maximálně, případně Jiný bez o omezení. Pro takové případy jako ty: QuebesOS, SUbgraph, Tails.
A ještě jedna věc: jaké máš předepsané prášky a jak dodržuješ dávky.

PS: je nutné mít počítač na internetu?

Vlado

Re:re zjisteni puvod napadeni systemu,
« Odpověď #7 kdy: 15. 01. 2019, 13:35:08 »
Věř že jsi nejspíš malá ryba, nikdo po tobě pravděpodobně nejde.

To je myslím veľmi častý (a smutný) omlyl! Každý botnet do svojej rodinky rád privíta aj "malé ryby".

agent

Re:re zjisteni puvod napadeni systemu,
« Odpověď #8 kdy: 15. 01. 2019, 13:36:15 »
Řekl bych, že příčinou toho, že se počítač takhle chová, je poškozené/zavirované/nekompatibilní vstupní zařízení.
Tohle je práce pro specialistu, který vstupní zařízení zanalyzuje a doporučí vhodný způsob opravy.
Bohužel tyhle opravy jsou většinou nadlouho a někdy se úplně nepodaří a chyby se vrací zpět. Pak je jediné řešení, tohle zařízení pro práci s počítačem nepoužívat.

jeban

Re:re zjisteni puvod napadeni systemu,
« Odpověď #9 kdy: 15. 01. 2019, 14:04:32 »
Věř že jsi nejspíš malá ryba, nikdo po tobě pravděpodobně nejde.

To je myslím veľmi častý (a smutný) omlyl! Každý botnet do svojej rodinky rád privíta aj "malé ryby".
Tak jo, no, asi existuje i varianta s nenulovou pravděpodobností, že pan jamicky vystaví svoje čerstvě nainstalované windowse bez updatu a antiviráku na net (aby si stáhl updaty a nainstaloval antivirák/fw) a v tu chvíli se mu nějaký botnet na jeho síti hned v PC zabydlí...
Jak moc je to pravděpodobné, netuším, ale stát se to nejspíš asi může... 

Možná by pomohl nějaký fw na routeru, stáhnout antivir/fw/updaty ručně na jinem pc a nainstalovat offline, nebo tak něco...

KuntHistorik

Re:re zjisteni puvod napadeni systemu,
« Odpověď #10 kdy: 15. 01. 2019, 14:36:58 »
a jak je možné, že sám Botnet/spyware se sám aktivně "vstříkne" do toho kompu bez jeho přičinění (nymyslím tupce, co si stahnou crack na photoshop nebo naletí na  rogue spyware)?

Případ pro specialistu to je rozhodně...
Jen nevím jistě, jestli provozovatelé bitcoinů, pardon botnetů mají radši malé ryby nebo velké voly

Mimochodem popis problému  pacienta mi připomíná typické chování android křápů

PetrM

Re:re zjisteni puvod napadeni systemu,
« Odpověď #11 kdy: 15. 01. 2019, 14:54:51 »
a jak je možné, že sám Botnet/spyware se sám aktivně "vstříkne" do toho kompu bez jeho přičinění (nymyslím tupce, co si stahnou crack na photoshop nebo naletí na  rogue spyware)?

Tak nezabezečený widle před aktualizací s 0-day + IPv6 + hry ve Flashi, než se stáhne update = průšvih

Případ pro specialistu to je rozhodně...

Použil bych množný číslo, nejenom ty viry si zaslouží odbornou péči...

Puňťa

Re:re zjisteni puvod napadeni systemu,
« Odpověď #12 kdy: 15. 01. 2019, 15:13:51 »
Udělej si instalačku windows(7nebo10) na flešce, vypni počítač, odpoj všechny disky, přeinstaluj software routeru, připoj a zformátuj jenom systémový disk, instaluj a spusť windows, udělej všechny updaty, stáhni si Comodo firewall, dej tam custom ruleset a povoluj jenom ručně veškerá připojení, stáhni antiviry (třeba malwarebytes a comodo nebo čemu věříš) a zkontroluj počítač, překontroluj ty tvoje ovladače a neměl by tam být žádný problém. Jestli tam něco zas máš a nepřišlo to z routeru, tak to bude něco co sám asi nezvládáš, odpoj počítač, hoď to nějaké firmě ať se na to podívají. Když tam nic nenajdou a jsi si jistý že tam něco máš, existujou na to léky, ale léčí jenom symptomy, ne samotnou nemoc.

pepa

Re:re zjisteni puvod napadeni systemu,
« Odpověď #13 kdy: 15. 01. 2019, 17:31:36 »
Nevim jaky mas stroj jako takovy...
pokud se nedostanes do konzole tak bych zacal instalaci na cisto a tak jak bylo uvedeno na flesce...
instalacka ze spolehliveho zdroje - urcite nestahovat z webu na tehle masine
dal bych tam uplne novy disk a vsechno ostatni co nepotrebujes odpojil
nainstalovat novy system, s rozdilnymi uzivately a jinymi hesly!!!
jakmile bude system updatovany
restart
prihlas se a spust procmon - https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
a pak bych treba pres usb pripojil prvni disk a koukl na normalni internet a sledoval jestli se objevi novy proces tak kde by nemel, pokud umis anglicky tak je na netu spousta blogu jak na to:
https://blogs.technet.microsoft.com/motiba/2016/05/04/process-monitor-for-dynamic-malware-analysis/
dobre je si nastudovat zakladni windows procesy a rozumnet jak se spolu vazi a jak se vazi na uzivatele apod..
optimalni by bylo aby se uz nic po reinstalaci neobjevilo
pokud ano tak pak uz potrebujes nekoho zkusenejsiho kdo dumpne pamet a udela analyzu obrazu pameti - je to jedine misto kde jsou videt rootkity apod...

Karbik

Re:re zjisteni puvod napadeni systemu,
« Odpověď #14 kdy: 15. 01. 2019, 18:32:17 »
Začal bych čistou, offline instalaci windows ze staženého nejaktuálnějšího obrazu, offline nainstaloval antivirus + firewall a připojil bych se přes nějakou důvěryhodnou síť, nebo alespoň přes jinou než tu co máte v domě - třeba přes mobil, ke stažení updatů.

Pro analýzu provozu sítě existují nástroje, třeba wireshark, ale tomu nerozumím, takže bych postudoval manuály a návody na netu. Zkusil bych si nainstalovat nějaký linux, spustit na něm ten wireshark a pak googlit co uvidím  :D