Zjištění původu napadení systému

nasis

Re:Zjištění původu napadení systému
« Odpověď #15 kdy: 15. 01. 2019, 19:19:45 »
1. Proč sis nedal práci s pravopisem v příspěvku, když nadpis máš správně?
2. temner je špatně, píše se téměř
3. stremovani  znamená co?
4. Máš taxativní seznam vsech tvych zareizeni? To sem na každé zařízení zakládáš nové vlákno?
5. O jaké soubory jde a jak si je v podsistmu jistil?
Poslední změna: Dnes v 18:49:30 od Petr Krčmář » [/url]=WTF
6. Zkoušel jsi jiný operační systém?


Re:Zjištění původu napadení systému
« Odpověď #16 kdy: 15. 01. 2019, 19:28:53 »
Nadpis má správně, protože jsem mu ho změnil, aby správně byl. Proto jsem tam taky uveden jako autor poslední úpravy. Ostatní prosím, aby se drželi tématu nebo ho ignorovali. Osobní útoky nepomůžou, máte-li radu, přispějte.

Vlado

Re:re zjisteni puvod napadeni systemu,
« Odpověď #17 kdy: 15. 01. 2019, 22:26:02 »
... vystaví svoje čerstvě nainstalované windowse bez updatu a antiviráku na net (aby si stáhl updaty a nainstaloval antivirák/fw) a v tu chvíli se mu nějaký botnet na jeho síti hned v PC zabydlí...
Jak moc je to pravděpodobné, netuším, ale stát se to nejspíš asi může... 
...

To, ak ma pamäť neklame, už ktosi skúšal, a čas do napadnutia bol v minútach. Škoda, že nemám link. Je to stará a zahmlená spomienka, môžem sa aj mýliť.

jeban

Re:Zjištění původu napadení systému
« Odpověď #18 kdy: 15. 01. 2019, 23:01:16 »
Co když má napadený počítač přímo ve svojí domácí síti, to by asi bylo rychlejší... Pokud v tom není sám, jak píše, může to tak být... Ale to jsou jen moje spekulace, vim kulový...
Možná by nebylo od věci zkusit jiného poskytovatele připojení.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:re zjisteni puvod napadeni systemu,
« Odpověď #19 kdy: 15. 01. 2019, 23:18:41 »
Tak jo, no, asi existuje i varianta s nenulovou pravděpodobností, že pan jamicky vystaví svoje čerstvě nainstalované windowse bez updatu a antiviráku na net (aby si stáhl updaty a nainstaloval antivirák/fw) a v tu chvíli se mu nějaký botnet na jeho síti hned v PC zabydlí...

Pocitam, ze ma doma nejaky router od ISP, ktery typicky obsahuje firewall. Samozrejme, pokud neni vypnuty nebo pokud neni krabka sama infikovana skrz deravy firmware.


Fousek

Re:re zjisteni puvod napadeni systemu,
« Odpověď #20 kdy: 16. 01. 2019, 07:07:51 »
... vystaví svoje čerstvě nainstalované windowse bez updatu a antiviráku na net (aby si stáhl updaty a nainstaloval antivirák/fw) a v tu chvíli se mu nějaký botnet na jeho síti hned v PC zabydlí...
Jak moc je to pravděpodobné, netuším, ale stát se to nejspíš asi může... 
...

Já mám  počítače bez antiviráku a updatu desítky let a nikdy se mi tam nic nezabydlelo, protože nejsem opožděný v mentálním vývoji a vím, že klíčový je firewall, který jste nevím proč nezmínil. Když nebude, nebo bude špatně nastavený, tak pc může být infikované v řádu minut. Updaty samy nic neřeší, jenom látají díry, a antivir má účinost od 0 - 30%, a často spíš blíž k té nule. Pravděpodobnost, že někdo zrovna na vašem počítači využije poslední známou díru (k čemuž bude potřebovat tým agentů v sousedním bytě, spolupráci vašeho psa a atraktivní blondýnku pro vyřešení sociálního aspektu diverzní akce) je nula.

Re:Zjištění původu napadení systému
« Odpověď #21 kdy: 16. 01. 2019, 07:53:05 »
dekuju mnoha odpovedim, vyzkouzim urcite většinu věci které tu popisujete, jinak s instalaci offline a instalaci ovladacu offline, tak tim zacinam vždy, mam k stolnímu pc disky se vsim. Bohuzel jak sem popisoval. kazdopadne zajimaji mne hlavne ty radi ohledne bezpečnosti, pripadne jestli ste někdo opravdu tak na urovni, nechcete třeba vydet vypis od loggu od intelu na instalaci ovladacu, veskere updaty atd, mi konci s rozsahem 0 az 0x0...….. Antyvyry sem mnel oficialni a jak pisu, jde prevazne o ulohy ve win, tak proto se to asi neda ani dohledat.
Stejne moc dekuji. Aspon par lidi chce pomoct a nejen se hadat o yI.ra
rad dodam vse potrebne na analizu.
Ještě jednou,Dik moc.

Re:Zjištění původu napadení systému
« Odpověď #22 kdy: 16. 01. 2019, 09:04:30 »
zajimaji mne ještě dve věci, muze se dostat něco primo do firewalu routru ? Ma nejaky smysl koupit novy, pripadne da se koupit před router ještě nejake zarizeni zvlastni firewal ?
A za druhé- nabízí spoustu vpn serweru sve služby, prevazne placene, ja se osobne ani na jednom pc nepripojim na Windows vpn, ani proxy. vse delam podle navodu, bohužel vždy když se pripojuji skoncio mi to ze serwer je budto nedostupny nebo ze se neda pripojit.
K otazkam co  a k cemu je to s téma ovladacema, no reknu to takhle, to ze ma usb třeba tri ovladace- korenovy rozbocovac, slozene zarizeni, nasledne ovladac, to je mi jasne.
jde o podrobnosti každého ovladace, skusim vam to poslat.
toto je od první instalace událost - zarizeni bylo nakonfigurovano-
Device USB\VID_14CD&PID_1212\121220160204 was configured.

Driver Name: usbstor.inf
Class Guid: {36fc9e60-c465-11cf-8056-444553540000}
Driver Date: 06/21/2006
Driver Version: 10.0.17763.1
Driver Provider: Microsoft
Driver Section: USBSTOR_BULK.NT
Driver Rank: 0xFF2000
Matching Device Id: USB\Class_08&SubClass_06&Prot_50
Outranked Drivers:
Device Updated: false
Parent Device: USB\ROOT_HUB30\4&8670eb8&0&0.

a ty udalosti mi prave pribivaji jak houby po desti, skusim najit od graficke karty, mam zde interni nvidii a druhou od intelu, bohužel nvidii nenainstaluju, proste tu není i když jsem ji mnel, mam tu k ni i program na nastaveni, který se spusti po zapnuti win,ale neotevre se okno s nastavenim.  takze 4gb grafiku proc to mam proste nepustim.
Informace   14.01.2019 23:09:32   UserPnp   20003   (7005)
Informace   14.01.2019 22:58:14   UserPnp   20001   (7005)
Informace   14.01.2019 22:58:12   UserPnp   20003   (7005)
Informace   14.01.2019 22:58:12   UserPnp   20003   (7005)
Informace   14.01.2019 22:58:12   UserPnp   20003   (7005)
Informace   14.01.2019 22:58:12   UserPnp   20003   (7005)
Informace   14.01.2019 18:57:28   UserPnp   20001   (7005)
Informace   14.01.2019 18:57:26   UserPnp   20003   (7005)
Informace   14.01.2019 18:57:26   UserPnp   20003   (7005)
Informace   14.01.2019 18:57:26   UserPnp   20003   (7005)
Informace   14.01.2019 18:57:26   UserPnp   20003   (7005)
Informace   14.01.2019 18:56:57   Kernel-PnP   430   Není
Informace   14.01.2019 18:56:54   Kernel-PnP   430   Není
asi tolik udalosti ma jen na integrovanou grafiku z desky, kdy jsou maximalne 4...…..v podrobnostech kazde udalosti je
+ System

  - Provider

   [ Name]  Microsoft-Windows-UserPnp
   [ Guid]  {96f4a050-7e31-453c-88be-9634f4e02139}
 
   EventID 20003
 
   Version 0
 
   Level 4
 
   Task 7005
 
   Opcode 0
 
   Keywords 0x8000000000000000
 
  - TimeCreated

   [ SystemTime]  2019-01-14T17:57:26.567863600Z
 
   EventRecordID 56
 
   Correlation
 
  - Execution

   [ ProcessID]  3192
   [ ThreadID]  3288
 
   Channel System
 
   Computer MrdkyMamVasBudouProblemy.MrdkaZkRtkaTece
 
  - Security

   [ UserID]  S-1-5-18
 

- UserData

  - AddServiceID

   ServiceName igfxCUIService2.0.0.0
 
   DriverFileName %SystemRoot%\System32\DriverStore\FileRepository\igdlh64.inf_amd64_b5d4c82c67b39358\igfxCUIService.exe
 
   DeviceInstanceID PCI\VEN_8086&DEV_3E9B&SUBSYS_12641025&REV_00\3&11583659&0&10
 
   PrimaryService false
 
   UpdateService false
 
   AddServiceStatus 0
 
 
a to update serice FALSE  tak to mam temner u všech ovladacu, nemluvim o tom ze jsou stere, cca 2016 a notbuk a hardware je z roku 2018...……. chapu ze součástky mohou byt starsi,ale ovladace od oficionalnich dodavatelu jsou z roku 2018-2019.



PetrM

Re:Zjištění původu napadení systému
« Odpověď #23 kdy: 16. 01. 2019, 09:44:23 »
"Device USB\VID_14CD&PID_1212\121220160204 was configured."

Gratuluji, máš k dispozici čtečku SD karet od výrobce SuperTop, připojenou přes interní USB HUB na řadič USB 3.0.

Pokud je to kombo (SD + další formáty), každá čtečka se takhle připojí samostatně (MemoryStick, CompactFlash,...).
Automatický připojení je vyvoláno enumerací USB, vyžadovanou USB standardem už od verze 1.0. Zabráníš tomu vytažením kabelu čtečky z motherboardu, nebo tvrdým zákazem řadiče USB.

Co tam máš dál?

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Zjištění původu napadení systému
« Odpověď #24 kdy: 16. 01. 2019, 11:33:11 »
zajimaji mne ještě dve věci, muze se dostat něco primo do firewalu routru ?

Muze. Spousta krabek je derava jak reseto a navic po chvili vyrobce prestane vydavat zaplatovany firmware.

Citace
Ma nejaky smysl koupit novy, pripadne da se koupit před router ještě nejake zarizeni zvlastni firewal ?

Tot otazka, vyrobci krabek jsou strasny dobytek a clovek nikdy nevi, jestli je nova krabka lepsi.

brečivé děcko

Re:Zjištění původu napadení systému
« Odpověď #25 kdy: 16. 01. 2019, 11:59:42 »
vydet vypis od loggu od intelu na instalaci ovladacu
Jako že s někdo v loggu vykoumá že čtečka karet instalovala trojana?

, veskere updaty atd, mi konci s rozsahem 0 az 0x0
Jedno kočičí přísloví říká:
 - Co to sakra meleš, vořechu?
A mimochodem v rozsahu 0 az 0x0 toho moc se neschová.
...….. Antyvyry sem mnel oficialni a jak pisu, jde prevazne o ulohy ve win, tak proto se to asi neda ani dohledat.
Stejne moc dekuji. Aspon par lidi chce pomoct a nejen se hadat o yI.ra
rad dodam vse potrebne na analizu.
Opravdu tady už tomu člověk přestává rozuměnt, kritické množství chyb v jazyce se už pak nedá opravit na smysluplný text.

Nebo nám chceš tvrdit, že máš v počítači vir, který i přidává gramatický šum?
Ještě jednou,Dik moc.
[/quote]

Lol Phirae

Re:Zjištění původu napadení systému
« Odpověď #26 kdy: 16. 01. 2019, 12:14:21 »
Prosím tě, najmi si admina a už nic neřeš, nepřepínej a hlavně - po ničem nepátrej.

zvědavec

Re:Zjištění původu napadení systému
« Odpověď #27 kdy: 16. 01. 2019, 18:26:28 »
Mám dva dotazy:
@jamicky: Takhle pěkný název počítače sis zvolil sám ? Já volím raději kratší.
@moderátor: Proč zmizel příspěvek, který na to upozorňoval už odpoledne ? Nebyl nevhodný, jen citoval poněkud nezvyklý název počítače z logu tazatele.

...
   Channel System
 
   Computer MrdkyMamVasBudouProblemy.MrdkaZkRtkaTece
 
  - Security
...

Re:Zjištění původu napadení systému
« Odpověď #28 kdy: 17. 01. 2019, 15:33:33 »
Punta, pepa moc vam dekuju.
konecne se nasel nekdo kdo chape problem, s ochotou pomuze a nestoura se misto toho v pravopise a nespravnym vyjadreni problemu. Comondo hodne pomohlo hodne, sice windowsackej firewal mi ukazoval moznosti kdy se neco otevira a chce samo udelat zmenu v programu, ale jak je videt, tohle je asi na jine urovni, vidim konecne ze neco nebude jentak v poradku kdyz sem to hlaseni mnel do minuty treba 6x.... nejvic mne stve to CMD nejcastejsi a pri necinosti pocitace snazici se mnenit neco v systemu, pripadne v registru, ale jak je videt na ovladacich, nedivim se pak co to dela. Zkousim novej instal notase o5 offline, sice mi zmyzel 1tb disk, nevidim ho ale aspon sem dosahnul ovladacu bez tech prepsanych dat a ostatnich zmen. Ubuntu taky na ceste. Mockrat dekuji, takhle jsem doufal ze lidi dokazou poradit. Nj je hodne typu lidi, ja toho staryho dedu taky zvednu ze zemne-pardooon zeme :D , ne ze do nej kopnu a jdu dal.

Nevěřím tomu co čtu

Re:Zjištění původu napadení systému
« Odpověď #29 kdy: 18. 01. 2019, 00:37:25 »
Všem specialistům tady. Je možné a není to výjimkou, že na w7 se uchytí svinčík hned po instalaci. Některé zranitelnosti obcházely fw a vlastně vše vyjma váženého kabelu.  Stačilo komprimované zařízení v síti. Před x lety se mi na čisté instalaci nakazilo pc do prvního stažení sp1.
A ty si kup kluku hoblík, protože hlavu bys používat už raději neměl.