59 ответов в этой теме

[Dmitry Shutov]

 

 

Это Ваши IP? Сомнительно....

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{0D36B2F5-F051-4ED2-A8DA-3B5C89788F1C}: NameServer = 199.85.126.10 199.85.127.10

O17 - HKLM\System\CS1\Services\Tcpip\..\{0D36B2F5-F051-4ED2-A8DA-3B5C89788F1C}: NameServer = 199.85.126.10 199.85.127.10

 

https://www.blockedservers.com/blocked/ipv4/199.85.126.10/ 

 

 

<dns>

<item sid="HKLM" key="System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0D36B2F5-F051-4ED2-A8DA-3B5C89788F1C}" value="NameServer" data="199.85.126.10 199.85.127.10" threat="DRH:Adware.DNS.Changer" arkstatus="suspicious" />

</dns>

 

Нет конечно, у меня другой диапазон адресов. Но у меня стоит нортоновский днс на ip4

стоит удалить эти ключи?

 

 

Раз Нортоновский...тогда наверное ваше.

 

А давно вы пользуетесь Cent Browser (Китайской сборкой)?

Прикрепленные файлы:

•  norton.jpg   33,18К   0 Скачано раз

[NekoPower]

 

 

 

Это Ваши IP? Сомнительно....

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{0D36B2F5-F051-4ED2-A8DA-3B5C89788F1C}: NameServer = 199.85.126.10 199.85.127.10

O17 - HKLM\System\CS1\Services\Tcpip\..\{0D36B2F5-F051-4ED2-A8DA-3B5C89788F1C}: NameServer = 199.85.126.10 199.85.127.10

 

https://www.blockedservers.com/blocked/ipv4/199.85.126.10/ 

 

 

<dns>

<item sid="HKLM" key="System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0D36B2F5-F051-4ED2-A8DA-3B5C89788F1C}" value="NameServer" data="199.85.126.10 199.85.127.10" threat="DRH:Adware.DNS.Changer" arkstatus="suspicious" />

</dns>

 

Нет конечно, у меня другой диапазон адресов. Но у меня стоит нортоновский днс на ip4

стоит удалить эти ключи?

 

 

Раз Нортоновский...тогда наверное ваше.

 

А давно вы пользуетесь Cent Browser (Китайской сборкой)?

 

Ну, месяца полтора-два точно. Но как и говорил, раньше ничего подобного не было. На него были жалобы уже раньше? 

[Dmitry Shutov]

Да нет, просто спросил.

 

Интересно.   

 

https://urlscan.io/result/d5857f02-c007-4894-8c79-2d30d926eb94#summary

Сообщение было изменено Dmitry Shutov: 09 Июль 2018 - 19:06

[NekoPower]

Да нет, просто спросил.

 

Интересно.   

Это имеет отношение к атакам? а то вдруг имеет, а я тут продолжаю пользоваться. Или есть что-то касаемо его, что мне следует знать? Говорите, мне интересно)

И что там по ссылке? Я не совсем понимаю.

Сообщение было изменено NekoPower: 09 Июль 2018 - 19:09

[Dmitry Shutov]

 

Да нет, просто спросил.

 

Интересно.   

Это имеет отношение к атакам? а то вдруг имеет, а я тут продолжаю пользоваться. Или есть что-то касаемо его, что мне следует знать? Говорите, мне интересно)

И что там по ссылке? Я не совсем понимаю.

 

 

Я просто спросил, раньше не видел этот браузер (сборку).

 

Ссылка...это IP от куда прилетали сэмплы Linux.Mirai (Испания).

[Konstantin Yudin]

Там ещё из того что подозрительно расширение AceStream, оно конечно вряд-ли качает (хотя чем черт не шутит), но в соседней теме ничего хорошего от него не нашлось.

[NekoPower]

Да, с адресом я и раньше гуглил, что он из испании знаю. Просто думал, там что-то интересное есть, я не особо шарю во всей этой лабуде) А сборка браузера хороша, есть просмотр видео в отдельном окне, оперативы жрёт меньше и запускается быстрее, чем обычный хром, чем и меня привлёк, а то хром порой около минуты запускался. В общем, если что, рекомендую, но не рекламирую)

Расширения эйс стрим нету, я его удаляю, т.к оно мне не нужно. Приложением пользуюсь уже долгое время, никогда с ним проблем не было, просто удобно смотреть фильмы и сериалы, не дожидаясь загрузки на комп. Да и я его сегодня не запускал даже, так что, вряд ли это из-за него.

Сообщение было изменено NekoPower: 09 Июль 2018 - 19:19

[NekoPower]

Вот, снова прилетели пять атак, собираю отчёт.

[NekoPower]

https://yadi.sk/d/-eeOygO13YyW5v

Вот вам архивчик на 400метров)

[NekoPower]

В общем, есть подозрение на Bluestacks  - эмулятор андроида, как запускаю его, так начинаются атаки спустя время, щас посижу с ним, посмотрю.

[Dmitry Shutov]

В общем, есть подозрение на Bluestacks  - эмулятор андроида, как запускаю его, так начинаются атаки спустя время, щас посижу с ним, посмотрю.

 

Ага....

 

path="C:\Program Files\VK\vk.exe"

path="C:\Program Files (x86)\BlueStacks\HD-Player.exe"

C:\ProgramData\BlueStacks\Client\Bluestacks.exe

 

в логах net_connections.xml - HD-Player.exe то и дело куда то лезет.

[NekoPower]

 

В общем, есть подозрение на Bluestacks  - эмулятор андроида, как запускаю его, так начинаются атаки спустя время, щас посижу с ним, посмотрю.

 

Ага....

 

path="C:\Program Files\VK\vk.exe"

path="C:\Program Files (x86)\BlueStacks\HD-Player.exe"

C:\ProgramData\BlueStacks\Client\Bluestacks.exe

 

в логах net_connections.xml - HD-Player.exe то и дело куда то лезет.

 

Странно, если честно, я им пользуюсь уже очень долгое время и ничего такого не было и приложением для вк

Spoiler

https://vk.com/desktop_app

. Неужели в эмуляторе дело? Больше ничего подозрительного нет в момент атаки?

Сообщение было изменено NekoPower: 09 Июль 2018 - 21:35

[Konstantin Yudin]

В общем, есть подозрение на Bluestacks  - эмулятор андроида, как запускаю его, так начинаются атаки спустя время, щас посижу с ним, посмотрю.

а что у вас за образ там крутится в эмуляторе? это хотя бы косвенно объясняет зачем под виндой качается малварь под другой процессор

[Dmitry Shutov]

 

 

В общем, есть подозрение на Bluestacks  - эмулятор андроида, как запускаю его, так начинаются атаки спустя время, щас посижу с ним, посмотрю.

 

Ага....

 

path="C:\Program Files\VK\vk.exe"

path="C:\Program Files (x86)\BlueStacks\HD-Player.exe"

C:\ProgramData\BlueStacks\Client\Bluestacks.exe

 

в логах net_connections.xml - HD-Player.exe то и дело куда то лезет.

 

Странно, если честно, я им пользуюсь уже очень долгое время и ничего такого не было и приложением для вк

Spoiler

https://vk.com/desktop_app

. Неужели в эмуляторе дело? Больше ничего подозрительного нет в момент атаки?

 

 

Понаблюдайте за BlueStacks

[NekoPower]

Да, буду смотреть, на всякий случай, написал им в тп тоже, указал ссылку на данный топик, пусть изучат. Но как-то сомневаюсь, до этого вечером всё хорошо было и обновлений никаких не было уже давно на него...

[Konstantin Yudin]

так малвари там скорее нет в образе, просто он дыряв вот его и пытаются хакнуть

[NekoPower]

так малвари там скорее нет в образе, просто он дыряв вот его и пытаются хакнуть

тоже так думаю - эмулятор всё таки, тем более популярный.

[NekoPower]

Вот снова прилетели. До этого три часа я его не включал и ничего не было.

Сейчас выключу и буду смотреть дальше, также и завтра. Не буду включать его долгое время, если атак не будет. то точно из-за него.

Тут если заметили, добавился ещё один тип вирусни, раньше была только Mirai

Прикрепленные файлы:

•  2018-07-09_235055.png   106,13К   0 Скачано раз

Сообщение было изменено NekoPower: 09 Июль 2018 - 21:53

[Konstantin Yudin]

я один не могу в логе найти детектов? это какое то проклятое место. в продукте не понять кто качал, смех и грех. добавлю детекты в системный эвентлог.

[NekoPower]

я один не могу в логе найти детектов? это какое то проклятое место. в продукте не понять кто качал, смех и грех. добавлю детекты в системный эвентлог.

Создал отчёт, прямо после атак, полный режим журнала был включен, там один файл аж под 31гб был.