web-dev-qa-db-ja.com

私のコンピューターは誰かによってリモート制御されていました。ウイルスを見つけることができません

私のコンピューター(Windows 10)に戻ると、ブラウザーの履歴タブに触れずに開いたところに気づき、カーソルが動き回っているのが見えました。 ctrl-alt-deleteするまで、マウスを制御できませんでした。

私が戻ってきたとき、私のアカウントで購入したps4デジタルゲームカードや、数百ドル相当を購入したことを通知する確認メールなど、複数の新しいタブを開いていました。また、「gameflip.com」のメールで作成したアカウントに関する確認メールを受け取りました。このウェブサイトを聞いたことがありませんが、それはあなたがものを売ることができる場所のようです。クレジットカード会社から詐欺請求を検出するメールが送られてきましたので、それを処理したので、私はそれでいいと思います。また、私のパスワードとそのすべてのジャズを変更しました。

問題は、彼らがこれをどのように行ったかを理解できないことです。 Windows Defender、Malwarebytes、およびMalwarebytes Anti-Rootkitでコンピューターをスキャンしました。 Malwarebytesもセーフモードで実行しましたが、何も見つかりませんでした。

誰かがgrc.comにアクセスして、開いているポートがあるかどうかを確認するためにスキャンを実行することを提案しましたが、21が閉じた状態を除いて、すべてステルスモードでした。私はスーパーテクノロジーに精通しているわけではないので、それが何かを意味するかどうかはわかりませんが、私が知る限り、「クローズド」は本当に悪いことではありませんか?

誰かが私のクレジットカード番号とパスワードを見つけたばかりなら、それは何でも簡単に解決できますが、どうすれば彼らが再び私のコンピューターを制御するのを防ぐことができますか?

1
Vaidd

リモートコントロールユーティリティは多数あります。

VNCはその1つにすぎません。

Virtual Network Computingはオープンソースであるため、誰でもソースをコピーして、コンピューターにインストールしたトロイの木馬のペイロードとして含めることができます。

ウイルス対策ソフトウェアは必ずしもすべてを見るわけではありません。新しいもの、または1つのジョブに対して作成された1回限りのものは、まだウイルス対策シグネチャファイルに変換されていません。

また、ウイルス対策ソフトウェアは、ソフトウェアのVNC部分を問題として認識しません。

誰かがあなたをだましてこれを含むいくつかのソフトウェアをインストールさせたら、彼らはいつでもあなたのコンピュータにアクセスできるでしょう。

未使用のポートを閉じることは常に良い考えですが、トロイの木馬はおそらくWebブラウザーやWebサーバーに使用されるポート80のような一般的に使用されるポートを使用するか、開いている未使用のポートを検索します。巧妙に記述されたトロイの木馬は、特定の設定された条件下でのみ特定のポートで応答し、それらが検出されるのを防ぎます。

攻撃者があなたのPCを乗っ取るのに十分な時間を持ち、クレジットカードの詳細と処理された確認メールを使用してWebブラウザ経由でさまざまな購入を行った場合、攻撃者はあなたのコンピュータを完全に侵害するのに十分なアクセス権と時間を持っていました。

すべてのデータを安全な外付けドライブにコピーし、ハードドライブと再感染ソフトウェアが含まれている可能性のあるクラウドストレージを含む接続されたデータストレージをワイプし、すべてを最初から再インストールするまで、これをクリーンアップする効果的な方法はないと思います。

すべてのデータを含むバックアップドライブへのアクセスは、再感染の危険を冒さない方法で行われるようにしてください。

また、攻撃者がアクセスしたすべてのアカウントのパスワードを更新し、すべてのクレジットカードを置き換える必要があります。

8
JohnRobyClayton

再入国を防ぐために私がとるべき措置。

  1. 軌道から核を出す
  2. 必要なソフトウェアのみをインストールします。クラック/パッチされたソフトウェアをインストールしないでください。
  3. 不要なサービスを停止/無効にします。
  4. すべてのソフトウェア(OSおよびプログラム)を更新します。
  5. 信頼できないUSBドングルは使用しないでください。
  6. 権限なし(管理者なし、インストール権限なし)のユーザーアカウントを作成し、それをデフォルトアカウントとして使用します。

攻撃がハードウェアに侵入していないことを知り、ベンダーファームウェアからの更新/フラッシュを検討することができます。

編集:分離によって保護する、より安全な指向のOSを検討することもできます。この提案をスパムとは思わないでください。ただし、VM指向のOS 1を使用しました。これは、さまざまなVM(個人/メール、バンキング、Webソーシャル、Web非信頼、vault_passwords)で通常のアクションを分離するため)侵入された場合、影響を受ける唯一のVMを削除して再作成することができます。そのOSはQubesでした。同様のアプローチを持つ他のOSもありますが、私はその1つが最も気に入りました。

2
bradbury9