Уважаемые киберпидоры, нужна ваша помощь. / компьютер :: взлом :: пидоры помогите (реактор помоги)

Уважаемые киберпидоры, нужна ваша помощь.
Только недавно обращался с одной просьбой, так 25й накинул мне уже другую.
В общем мне как-то умудрились взломать компьютер. Понял я это по перехвату управления курсором онлайн без смс и регистрации. Причем не один раз и, судя по осознанным движениям, явно ещё и с хорошим отображением моего рабочего стола. Иии что делать?
Ясен вариант "Переустанови винду", но у меня в нем совершенно никакой уверенности из-за того, что не ясно как компьютер перехватили. В журналах никаких сторонних записей не было, Terminal-Services-RemoteConnectionManager тоже никаких новых подключений не отображает, по коду 1149 тоже пусто. Всяких приложений для удаленного управления у меня тоже нет, удаленный доступ везде запрещен и закрыт., удаленный рабочий стол тоже выключен. По диспетчеру задач тоже никаких левых программ.
Если из последнего смотреть что я ставил - дрова на мышь и амнезию для варпа вместо ВПН. Но убирая что первое, что второе, разницы мне кажется никакой.
Собственно вопрос - как отследить процесс из-за которого у меня уязвимость и точно ли может она пропасть при переустановки винды? У меня win10, к слову.

Подробнее
ИСПОЛЬЗОВАТЬ ТОЛЬКО В СЛУЧАЕ КРАЙНЕЙ НЕОБХОДИМОСТИ
пидоры помогите,реактор помоги,компьютер,взлом

Еще на тему

пидоры помогите(7835)

компьютер(1694)

Развернуть

Комментарии 6812.01.202512:52ссылка-4.2

ссылка на гифку

Усатый хрен12.01.202512:54ответить ссылка 2.7

Прогнать череть антивирус очевидно. Windows defender, dr web cure it, Касперский, нод32.

hurrdurrdurr12.01.202512:55ответить ссылка 1.1

Делал, голяк.

dim110912.01.202512:56ответить ссылка ↑ 0.0

Делай загрузочные флешки с антивирем и прогоняй. Касперский в сентябре сообщал о "пополнении" RAT-троянцев.

Судя по перехвату, всё жё, твой случай.

Поидее, очень помогают блокирующие всё подряд расширения-антибаннеры для Chrome и включённый UAC + скачивание только с доверенных порталов и торрентов.

Мне лично Malwarebytes приглянулся, хоть и бесит пытаться блокировать почти всё (приходится пополнять регулярно исключения)

DONT_DEAD12.01.202513:28ответить ссылка ↑ 0.1

Короче, опишу в общих чертах, правда не знаю актуально ли это сейчас, на новых версиях винды.
Как то раз подхватил вирус, явно видно что вирусы есть, а антивирусы ничего не находят, файлы надо было сохранить по любому, стал шарить и помог следующий совет. Есть такая программа Доктор Ватсон и мой вирус шифровался под одну из его подпрограмм, я отключил этого Др Ватсона, запустил антивирус и понеслась, столько говна он нашел. Короче как я и сказал не знаю актуально ли, но может стоит копать в этом направлении, даже если это не Др Ватсон, то может что то другое. Антивирус был "dr web cure it".

VolsungTPK12.01.202514:24ответить ссылка ↑ 0.3

винду официальную ставил? самую свежую?

Kamikadze01212.01.202512:55ответить ссылка 0.4

Винда с оф сайта, все обновы стоят.

dim110912.01.202512:57ответить ссылка ↑ 0.0

Есть встроенная утилита в винды "удаленное управление рабочего стола"... я не шибко шарю, но есть подозрение, если у тебя она есть, то ее надо удалить, взломали именно ее. Ну и после этого антивир какой нить запустить

SteelAdder12.01.202512:55ответить ссылка -2.5

это совершенно другой доступ а не "перехват курсора"

akss12.01.202512:57ответить ссылка ↑ 2.9

Попробую.

dim110912.01.202512:57ответить ссылка ↑ 0.0

Он же пишет "удаленный доступ везде запрещен и закрыт., удаленный рабочий стол тоже выключен" - то о чём ты говоришь, это оно и есть.

wooooot12.01.202513:12ответить ссылка ↑ 2.8

софта для удаленного управления - как грязи, может быть замаскирован под процесс или службу. по описанию похоже на VNC. Переустанавливай и всё будет ок, не качай всякое дерьмо в следующий раз и включи UAC, он реально спасает, хоть и бесит немного.

zod1aq12.01.202512:56ответить ссылка 2.6

В 25 ещё кто-то сидит без UAC? Я думал этот холивар ещё с Вистой умер.

Gaggablaghblagh12.01.202513:58ответить ссылка ↑ -1.3

Был у нас как-то случай. В соседних кабинетах подключили к компам одинаковые беспроводные мышку с клавой, подключались они к компу через базу. Так вот на одном компе перепутали порты и возник эффект, на одном компе мышкой елозят, на втором тоже ездит.

Возможно не это конечно, но вспомнилось вдруг :)

chuma12.01.202512:57ответить ссылка 1.8

Не вариант, у меня проводная.

dim110912.01.202512:58ответить ссылка ↑ 0.3

А по теме. Нужен загрузочный антивирус, который с юсб или сд грузится, типа KVRT или cureit. Антивирусы могут и не найти бяку. Была когда-то такая утилита, давно не пользовался, показывает автозагрузку и "репутацию" приложений, типа этот процесс подозрительный - он скрывает свои окна, сидит в автозагрузке, перехватывает нажатия клавиш и т.п. н или вот такая штука еще есть.

chuma12.01.202513:04ответить ссылка ↑ 0.6

Программка LastActivity очень эффективно вылавливает запуски разных компонентов винды, санкционированные и нет. Ну и глазами службы посмотреть. Их надо отключать все эти "удалённые управления", а не "новых подключений не было". Они для чего-то нужны, что ли, что не удалены?

HashMK12.01.202512:59ответить ссылка 0.9

Так и что делали перехваченньім курсором? Может у тебя просто сенсор "срьівает"?

Sitroaik12.01.202513:09ответить ссылка 2.0

Переключение окон, выбор вкладки, воспроизведение видео.

dim110912.01.202513:10ответить ссылка ↑ 0.2

Похоже на скрипт

IHateYaplakal12.01.202513:38ответить ссылка ↑ 6.2

Плюсую.

Sitroaik12.01.202514:13ответить ссылка ↑ 0.0

Что за видео и откуда взялось?

Bill Ein12.01.202515:03ответить ссылка ↑ 0.0

Просто у меня был свёрнутый браузер с видео на фоне которое я хотел послушать, про вахту, ничего особенного.

dim110912.01.202515:40ответить ссылка ↑ 0.0

Я как-то цеплял вирь, который прописывал в планировщике заданий раз в n-времени открывать в брузере онлайн-казино "вулкан". В общем на всякий-який проверь планировщик заданий, с чем чёрт не шутит, может найдёшь там что-то интересное.

Bill Ein12.01.202516:24ответить ссылка ↑ 0.0

пидоры помогите,реактор помоги,компьютер,взлом

DONT_DEAD12.01.202513:17ответить ссылка ↑ 7.6

Не тупи, у него целенаправленный взлом системы, а не просто вирусняк. На винде ты нихера с этим не сделаешь.

wooooot12.01.202513:30ответить ссылка ↑ -4.7

Кому он дался целенаправленно?

Чтобы пугать его "зырь курсор двигается"?

...Именно поэтому ему срочно нужно установить и освоить линукс.

На винде 1001 способ защищаться от угроз. Просто это довольно популярная ОС, относительно удобный интерфейс и кастомизация, огромное количество ПО и его очень легко установить. Раз стоит эта ОС во многих федеральных компаниях в той же России, так че бы и не быть вирусам?

Андроид как стал популярной платформой, так тоже резко оброс ими.

DONT_DEAD12.01.202514:04ответить ссылка ↑ 1.5

Если у тебя на роутере NAT и порты не проброшены, как вообще можно «целенаправленно» взломать без активных действий со стороны пользователя? Тупо не достучишься до Винды. Или надо к локальной сети подключиться, но это уже совсем другая история - шпионы или сосед-кулхацкер, вероятность обоих крайне низка.

Gaggablaghblagh12.01.202514:10ответить ссылка ↑ 0.6

Мы не знаем конфиг его компа. Линукс с виртуалкой виндовой может его на пределе заставить работать. Да и виндовую виртуалку еще собрать и настроить нужно.

Лолисичка12.01.202513:37ответить ссылка ↑ 0.6

1) Нет, не может - такие компы лет 15 как не актуальны.

2) лол, нет - в виртуалбокс винда ставится даже проще, чем на живую

wooooot12.01.202513:46ответить ссылка ↑ -0.2

Понятно. Я просто только с vmware дело имел. А насчет компа - только по работе сужу, нам в прошлом году такие поставили с линуксом, что при запуске виртуалки кулера думают что они должны этот комп в летающий дрон превратить.

Лолисичка12.01.202513:50ответить ссылка ↑ 0.6

И чем винда в виртуалке спасёт?

Gaggablaghblagh12.01.202514:05ответить ссылка ↑ 0.7

Тем, что как только начинается подозрительная херня - стопоришь виртуалку и исследуешь, что там на самом деле происходит из вне, а не изнутри заражённой системы. Банально доступ к айпи одно дело изнутри смотреть, а другое дело из контролируемой тобой системы.

Это называется хонейпот и является базовым способом борьбы со взломами в серьёзном IT.

wooooot12.01.202515:53ответить ссылка ↑ 0.0

Ханипот - это немного другое, в ханипоте не должны храниться настоящие данные, потому что ханипот рассчитан на то, что его взломают. В этом случае чувак по-прежнему будет пользоваться виндой и по-прежнему если его хакнут, то могут спиздить реальные данные. Но да, согласен, что можно изучать извне - это плюс.

Но всё ещё оверкилл для домашнего юзера.

Gaggablaghblagh12.01.202515:57ответить ссылка ↑ 0.0

похоже у тебя все таки есть приложение. Попробуй сделать бочку.

Если хочешь, ткну в небо - у тебя есть приложение, некоторые функции которого тебе не известны. Вот в браузере хром к примеру есть удаленный рабочий стол.

Я сделал бы на твоем месте так - оценил сколько времени нужно на составление списка и перебор ПО для удаленного доступа. Затем исследование. Затем попыток открыть/закрыть входящие и исходящие порты в брандмауэре. И сравнил это со временем на переустановку и настройку ОС.

Выбрал из двух зол или жил в проклятом мире, который сам создал

Клавикус Ваил12.01.202513:29ответить ссылка 1.3

После переустановки ОСи его ломанут точно теми же средствами, что и первый раз. Только теперь не станут так сильно палиться.

wooooot12.01.202513:36ответить ссылка ↑ 0.4

откуда ты знаешь, что тебя не ломанули и не палятся?

Клавикус Ваил12.01.202513:38ответить ссылка ↑ 0.9

Оттуда, что бабло с карты до сих не спиздили

wooooot12.01.202513:45ответить ссылка ↑ 0.0

У него тоже

Gaggablaghblagh12.01.202514:01ответить ссылка ↑ 1.2

а может просто сложно спиздить то чего нет?

tntdrums12.01.202514:40ответить ссылка ↑ 1.8

Чушь, кто его там целенаправленно ломать будет и откуда? 99,9% что скачал хуйню невнятную откуда-то. Переустановить винду и не качать что попало откуда попало.

Gaggablaghblagh12.01.202514:03ответить ссылка ↑ 1.3

Те же, кто и других людей. У меня, например, несколько кредиток с приличным кредитным лимитом сохранённых прямо в браузере и крипта. В сумме можно ~5 лямов обогатиться, ломанув мой комп. Достаточно выгодное предложение, чтобы начать ломать всех подряд наобум, вдруг у кого что найдётся.

wooooot12.01.202516:04ответить ссылка ↑ 0.0

**вы привлекли внимание Васяна-Хакера**

tntdrums12.01.202516:32ответить ссылка ↑ 1.8

Ломать всех подряд наобум не называется "целенаправленно". И прикладывать слишком много усилий при такой стрельбе по площадям никто не будет. Я даже не знаю, какие вообще есть экономически разумные способы, кроме распространения вирусняка. Толкаться в интернете напрямую к пользовательским машинам (не серверам) и искать уязвимости практически нереал, т.к. все сидят за NATом. Разве что провайдера похакать и через него уже к юзерам ломиться, но это ИМО опять же экзотика.

Gaggablaghblagh12.01.202516:49ответить ссылка ↑ 0.0

Сейчас кредитки/крипта у 99% молодого населения. Так что угадать, ломанув комп наобум, довольно просто. Т.к. все сидят за NATом - ох, лол - это вообще никак не мешает. Тут скорее вопрос в том, что взломщика могут и найти. Только учитывая число таких вот лохов "да кому нужны мои пару лямов, меня точно не ломанут" - процесс практически безопасный.

wooooot12.01.202517:12ответить ссылка ↑ 0.0

> ох, лол - это вообще никак не мешает

Тут можно подробнее? Не понимаю, как можно достучаться до машины, сидящей за НАТом без проброшенных портов. А если нельзя достучаться, то как её ломать? Иначе любой взлом предполагает какие-то активные действия со стороны юзера, т.е. зайти на какой-то сайт, скачать что-то и запустить.

> Сейчас кредитки/крипта у 99% молодого населения

Как ты будешь ломать наобум? В смысле, что ты вообще будешь ломать? Единственный вариант, который мне приходит в голову - перебирать случайные IP. Случайные IP в 95% случаев будут не у молодого населения, потому что доступ к интернету имеют все, плюс куча разных серверов, сервисов и т.п.

Gaggablaghblagh12.01.202517:15ответить ссылка ↑ 0.0

Ещё как вариант: если у тебя антивирус оплачен, а не ломаный, ты можешь связаться с лабораторией Касперского, объяснить проблему и отправить им слепок образа своего харда на экспертизу.

wooooot12.01.202513:33ответить ссылка -1.5

У меня их 4 штуки, ясное дело что системный, но он террабайтовый.

dim110912.01.202513:35ответить ссылка ↑ 0.0

Пффф. В этом случае отправка данных со стороны твоего компа за ночь управится

wooooot12.01.202513:54ответить ссылка ↑ 0.0

та то ты просто случайно макрос записал с новыми дровами на мыщь. И активируваешь его, вот отно курсором и шево́лит

ЖЖБа12.01.202513:37ответить ссылка -0.5

если чел не тупой, то он уж точно отличит целенаправленное шевеление мышью по vnc/rdp от действия макроса

wooooot12.01.202513:51ответить ссылка ↑ 0.6

Для внц нужен процесс, рдп не покажет ему работу в окне, т.к. полность забирает на себя сессию пользователя.

Sitroaik12.01.202514:12ответить ссылка ↑ 0.0

А кто сказал, что у него нет процесса? 100% он есть, просто спрятан и если там руткит, то в диспетчере задач ничего особенного не увидишь

wooooot12.01.202515:45ответить ссылка ↑ 0.0

Если данные сохранены, то самый простой вариант - переустановка винды с полным форматированием дисков.

Earendur12.01.202513:38ответить ссылка 0.9

Хотя вот ещё вариант: глянь с каких ip к твоему компу идут подключения и заблочь все подозрительные. А ещё лучше - составь белый список хостов и разреши подключение (для начала) только к нему. Делай из безопасного режима.

wooooot12.01.202513:42ответить ссылка 0.0

у меня было похожее, ресничка попала на лазер мышке, вот она и ездила по экрану

sNapas1312.01.202513:46ответить ссылка 1.8

Ещё как вариант, если не отключал точки сохранения - перейти на несколько точек сохранения назад. Впрочем, все их зачем-то отключают.

wooooot12.01.202513:57ответить ссылка 0.0

Выключи роутер, если без соединения повторится - возможно хардварный баг / скрипт

empiro12.01.202514:12ответить ссылка 4.5

Чел тут 2 варианта: либо у тебя стоит какая то программа удаленного администрирования, которых просто куча, либо тебя настигла шиза, и никакого взлома нет. Еще вопрос откуда ты скачивал "амнезию как варп вместо впн", может с ней что то прилетело.

lexasan12.01.202514:23ответить ссылка 1.0

я подсяду?

никто случаем не знает, что за прикол может быть: браузер начинает скачивать какие-то файлы? я их вижу в списке загрузки, но я их нигде не запрашивал сам. все открытые сайты довольно надёжные - ютубчик, реактор. грешил на плагины, самые последние установленные снёс после первого случая, но потом эта хрень повторилась. там были какие-то pdf-ки штуки 3. если б были экзешники, я б еще понял, типа я открою посмотреть, чо за хрень, - и писец, но pdf вроде статические. короче, я их открывал, там были какие-то научные статьи на инглише

villy12.01.202514:38ответить ссылка 0.0

браузер намекает, хватит деградировать на реакторе, иди учись

Gaggablaghblagh12.01.202514:55ответить ссылка ↑ 0.9

ну мам!

villy12.01.202515:00ответить ссылка ↑ 0.9

если у тебя браузер засран плагинами, то неудивительно - отключи вообще все плагины, а лучше попробуй с другого браузера или переустановить текущий браузер, не забудь только логины/пароли и историю импортировать

wooooot12.01.202515:49ответить ссылка ↑ 0.0

не засран, все нужные и давно стоят. что ставил недавно - то снёс

villy12.01.202515:53ответить ссылка ↑ 0.0

то, что они "нужные" и давно стоят - ничего не значит

wooooot12.01.202517:16ответить ссылка ↑ 0.0

если б это делали они, я б заметил раньше, ну и другие пользователи

под подозрением были новые, но тож не подтвердилось

villy12.01.202517:19ответить ссылка ↑ 0.0

Только зарегистрированные и активированные пользователи могут добавлять комментарии.

Похожие темы