Dodaj do ulubionych

lawina phishingu

IP: *.neoplus.adsl.tpnet.pl 24.11.15, 11:35
Dzień dobry,
w moim komputerze mam:
aktualizowany na bieżąco system,
Bit Defender Internet Security,
CCleaner,
ADS_9
Opera 33.0

Pracuję na koncie użytkownika (hasło extremalnie silne -- 17 znaków)
2 skrzynka mailowe -- hasła silne.
Dostęp do konta bankowego poprzez BD Safepay.

Od kilku dni dosłownie zalewany jestem próbami phishingu (BF blokuje) w ilościach kilkudziesięciu (po kilku minutach od włączenia komputera) ze strony config.sensic.net.

Pytanie: skąd się te ataki wzięły i jak z tym skończyć?
Pozdrwawiam i dzięki za pomoc.
Edytor zaawansowany
  • kolobos 24.11.15, 15:57
    Bez logow z frst nie ma sensu zgadywac czy masz infekcje czy nie i jak to ewentualnie usunac.
  • bpos 24.11.15, 16:18
    Dodatkowo przeskanowałem komputer Malwarebytes A-M.
    Znalazłem 6 zagrożeń: 3 typu exe i 3 w rejestrach.
    Usunąłem wszystkie 6 i znów BF wskazuje na 9 kolejnych pób phishingu z tej samej strony: config.sensic.net.
    Jak mam zadziałać teraz?
    dz.
  • Gość: zen IP: 93.175.81.* 04.12.15, 14:19
    Dodaj adres config.sensic.net do pliku hosts na komputerze. To adres serwera analizujacego twoje zachowanie w internecie tzw nowy megapanel
  • bpos 24.11.15, 17:44
    Wklejam linki:
    FRST
    wklej.org/id/1856566/

    Addition
    wklej.org/id/1856573/

    teraz jest chyba poprawnie.
  • Gość: Kolobos IP: *.internetdsl.tpnet.pl 25.11.15, 09:08
    Zaloguj sie na konto administratora i dopiero wykonaj skanowanie przy pomocy frst.
  • bpos 25.11.15, 10:55
    Dzień dobry.
    Poniżej przekazuję linki po skanowaniu wykonanym z konta administratora:
    1. FRST www.wklej.org/id/1857352/
    2. Addition www.wklej.org/id/1857354/
    3. Anti-Malware nie wykazał zagrożeń.
    W trakcie pisania tego postu Bit Defender wykrył 5 kolejnych prób phishingu.
    Tak się dzieje od kilku dni, a uprzednio od kilku lat miałem w zasadzie święty spokój. Jeśli zdarzało się cokolwiek to sporadycznie.
    Proszę więc o pomoc.
    PS. Pierwszy link z tutorialu (do AdwCleaner) nie zadziałał.
  • kolobos 25.11.15, 11:43
    Link dziala, przed chwila sprawdzilem.

    Nie widac tutaj infekcji.

    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    S1 adgnetworktdi; system32\drivers\adgnetworktdi.sys [X]
    S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [X]
    S3 cpuz134; \??\C:\Users\WACICI~1\AppData\Local\Temp\cpuz134\cpuz134_x32.sys [X]
    S3 cpuz137; \??\C:\Users\WACICI~1\AppData\Local\Temp\cpuz137\cpuz137_x32.sys [X]
    U3 DfSdkS; Brak ImagePath
    S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
    S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
    S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
    2015-11-24 16:25 - 2015-11-24 17:00 - 00000000 ____D C:\AdwCleaner
    C:\ProgramData\fontcacheev1.dat
    EmptyTemp:

    W FRST wybierz Napraw.

    Zgaduje, ze wchodzisz na jakas strone na ktorej jest skrypt: config.sensic.net/pl1-sst-w.js, mozesz to zablokowac. (zainstaluj np. uBlock do przegladarki, ktory powinien to blokowac).
  • bpos 25.11.15, 13:14
    Wykonałem to co zaleciłeś wraz z wpisaniem do Adblocka Plus takiej strony: config.sensic.net/sui.html?cookie=MEPP -- bo to właśnie pojawiało się w BD IS.
    Wydaje mi się, prawie jestem pewien, że nigdy na tę stronę nie wchodziłem.

    W Addition.txt znalazłem jakiś dialer i gołą Britney Spears ;).
    Próbowałem usunąć te dane z rejestru, ale nie znalazłem klucza więc... chyba ta BS ze mną pozostanie.
    Pozdrawiam, dzięki.
    PS. A gdyby co -- to się znów odezwę.
  • bpos 25.11.15, 15:06
    Opócz posiadanego Adblocka+ włączyłem uBlock, do kórych dodałem w/w stronę.
    Działania jak dotąd skuteczne -- minęły 2 godz. i nie było alertu anty-phishingowego.
    Dz.
  • dorry 30.11.15, 11:27
    Zauważyłam u siebie to samo. Z moich obserwacji wynika, że te ataki pojawiają się TYLKO podczas przeglądania gazeta.pl!
    W czasie kiedy to pisałam BD wykrył 2.
    Podczas przeglądania innych stron nic się nie dzieje.
  • bpos 30.11.15, 15:31
    Trolluj sobie gdzie indziej i pisz tam, że to wina Tuska.
  • dorry 30.11.15, 20:37
    Dobrze się czujesz?
    Gdybym chciała trollować, to chyba nie w tematach gdzie nikt prawie nie zagląda.
    Myślisz, że jak znalazłam ten temat?
    Na wykop nie wchodzę... a ten alarm mam tylko na gazecie, czy to się Tobie podoba, czy nie.
    A w temacie: znalazłam tylko to:
    www.virustotal.com/en-gb/url/a17d191880e1755ca58890e5104372bfe1077d534ac000a48ccb1c99d8fb9491/analysis/1448911921/
    i byłam tu: sensic.net/
    Może ktoś mądry się wypowie, bo na razie wygląda mi na to, że to jakaś firma od "ciastek" a BD jest po prostu przewrażliwiony???
  • bpos 30.11.15, 20:54
    Sorry, wycofuję swój post (kosz).
  • dorry 01.12.15, 10:53
    Nie ma problemu:)
  • dorry 01.12.15, 11:28
    Zainstalowałam sobie Lightbeam i ten dodatek pokazuje sensic.net jako jedną z firm które pozyskują dane podczas przeglądania gazeta.pl
    Inne to: gemius.pl, doubleclick.net, facebook.com, facebook.net, chartbeat.net, googleadservices.com, itd, itd... sporo tego. Bardzo pouczajace...
    Tak więc, na razie, podtrzymuję moją poprzednią opinię - to jest jakaś firma śledząca naszą działalność w necie poprzez ciastka.
  • dorry 01.12.15, 11:33
    Nie znam się na tyle żeby ocenić, czy jest możliwe, podszycie się przez hakerów pod tę firmę?
  • dorry 01.12.15, 11:37
    Z ciekawości weszłam tez na wykop.pl.
    Lightbeam pokazuje i dla tej strony połączenie z sensic.net
  • kolobos 01.12.15, 15:00
    Dopisz sobie do hosts:
    0.0.0.0 sensic.net

    To powinno skutecznie zablokowac strone.

    Ps. Takich stron jest pelno, nie ma sensu dalej o tym dyskutowac.
  • Gość: zen IP: 93.175.81.* 04.12.15, 14:23
    Nie tylko gazeta.pl, ale masz czesciowo racje. To adres nowego megapanelu badawczego ( kto , ile , jakie strony odwiedza w internecie itp ) na stronach agory juz sa te scrypty. Najprosciej to dodac adres config.sensic.net do pliku host na komputerze (telefonie , tablecie ) lub wtyczka do przegladarku ghistery
  • Gość: sebnysa IP: 109.78.16.* 30.11.15, 16:59
    Ha, miałem to samo. Przeglądasz wykop? Tam ostatnio był temat o skryptach do ściągfania filmów z vod.pl i tym podobne, u mnie temat masakrował na tyle, że wyskakiwało mi po 200 połączeń ze stroną config.sensic.net/sui.html?cookie=MEPP i bieda, nie mogłem się tego pozbyć.
    Ale przed chwilką wykasowałem te skrypty z mojej przeglądarki i... nastał spokój...
  • bpos 30.11.15, 20:12
    Wykop?
    O ile pamiętam to nigdy tam nie byłem.
    Może nieopatrznie kliknąlem w jakiś link.
    Nie pamiętam.
    Dodam, że po zastosowaniu się do porad kolobosa pojawił się tylko jeden atak phishingowy z tejże strony.
  • Gość: Mark IP: *.static.sitel.net.pl 30.11.15, 17:53
    A nie jest to może uzależnione od przeglądarki?
    Na Opera wyskakuje mi to ciągle a na Edge jeszcze ani razu.Czy ma to ktoś na chrome albo firefox
  • pspiotr 30.11.15, 18:13
    uzywam firefox'a i tez to mam...to chyba z reklam pochodzi, ktore nam tak obficie sie proponuje
  • dorry 30.11.15, 20:37
    U mnie i na chrome i na Firefox.
  • tomema 02.02.16, 15:24
    Napisze krótko, chleliście demokracji, to ją mata. Nie macie prawa płakać, że wszystko co robicie jest rejestrowane, zapisywane, a potem reklamy, dziwne telefony do was docierają. Klikając na co kolwiek zgadzacie się na AKCEPTACJĘ regulaminów, cookie;s i Bóg wie czego jeszcze.
    Wszystko zgodnie z prawem aby żyło się Wam lepiej.

Popularne wątki

Nie pamiętasz hasła

lub ?

 

Nie masz jeszcze konta? Zarejestruj się

Nakarm Pajacyka
Agora S.A. - wydawca portalu Gazeta.pl nie ponosi odpowiedzialności za treść wypowiedzi zamieszczanych przez użytkowników Forum. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną. Regulamin.