"Атака на брешь в системе..."

[ImTheRequiem]

Итак, чтобы не разливать воду, приведу скриншот окна журнала персонального фаервола NOD32.

Хотелось бы услышать мнение специалиста о том, что это может быть и можно ли что-то сделать. Не знаю, считается ли это корректным запросом, но все выглядит как то, чего не должно быть. Вдобавок к показанному на скриншоте,  в журнале иногда появляется сообщение об атаке сканирования портов. Периодичность примерно десять минут (сообщение о сканировании куда реже). Мелькали порты: 445, 6036, 80, 443 и по-моему 447

Лог по инструкции из раздела правил составления требуется в данном случае? Что-то еще? Проблема требует решения или как поступить в данной ситуации?

Были проверки компьютера  с помощью NOD32, CureIt (нашел безобидный мусор), MBAM, AdwCleaner, KVRT и все кроме кюрейта никакой реакции ни на что.

Изменено 6 сентября, 2017 пользователем ImTheRequiem

[Sandor]

Здравствуйте!

 

Атака на брешь в системе

Закройте эту самую брешь.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[ImTheRequiem]

Сейчас этим займусь. Скажите, эта атака происходит каким образом? В смысле, у всей семьи ноутбуки и роутера нет, подключаемся напрямую. Будут ли подвержены ей компьютеры, которые будут выходить в сеть по этому кабелю? Извините, если вопрос звучит как-то глупо, я просто не знаю как корректно его сформулировать.

[Sandor]

Вышеприведенный скрипт можете выполнить на любом компьютере.

Логи по правилам раздела все же соберите и прикрепите.

[ImTheRequiem]

Обновления оказались неприменимы. Думаю здесь на то, что у меня семерка, которая считает себя максимальной, но на деле ничего не устанавливала в себя дополнительно из-за отключенных обновлений.

 

Вот лог.

Атаки возобновились. Порт 445

CollectionLog-2017.09.06-16.21.zip

Изменено 6 сентября, 2017 пользователем ImTheRequiem

[Sandor]

По-вашему, чем больше антивирусов, тем лучше?

AV: Kaspersky Internet Security

AV: ESET Smart Security

Да еще Защитник и Malwarebytes, версия 3.1.2.1733

 

Оставьте один антивирус, остальные удалите.

Чистка системы после некорректного удаления антивируса.

 

Обновления оказались неприменимы

Поясните, можно скриншотами.

 

Internet Explorer тоже следует обновить до 11 версии.

[ImTheRequiem]

MBAM и AdwCleaner запускаю для проверки всякого мусора, на который антивирус не реагирует. Касперский удалил, но пока без чистки и перезагрузки.

 

С Защитником вообще туманная история, когда он начал работать как майнер и грузить компьютер. Да и скачался он автоматом при установке обновлений через Центр обновления.

История следующая. Подумал я как-то, что моя система "голая", поскольку на ней стоят только драйвера "чтобы железо работало" и все. Открыл центр обновления и полез смотреть какие обновления можно ставить, а какие нет. Вычитал, поставил то что интересовало и компьютер взбесился. Еле откатил. К слову, до этого я обращался сюда же по поводу системы до переустановки и ситуация была точно такая же. Вернее, там был целый букет проблем, три майнера и сверху еще сверхнагрузка от обновлений. Тогда я подумал, что инфицирован центр обновления, переставил систему и отключил все обновления. Потом снова подумал, что неплохо бы обновиться хотя бы местами и та же история, но только без майнеров.

Но это все прошлое дело. Сейчас меня беспокоят эти атаки сетевого червя, даже нескольких видов (должно быть видно на скриншоте в первом сообщении).

Обновления IE и компонентов ActiveX при запуске автономного установщика говорят о том, что они неприменимы к этой системе, хотя и выбраны именно для этой. Уточню, что при этой же проверке, но до "якобы апгрейда" с Домашней расширенной до Максимальной вываливался целый список обновлений KBXXX..., а тут только два пункта про IE и ActiveX

(Пока все это писал, выскочило предупреждение об атаке сканирования портов.)

 

Много воды разлил, но уж извините, проблемы в реальной жизни, еще и с компьютером вожусь. Уверен, с лицензионной системой все было бы куда проще и понятнее. Но увы, обстоятельства сложились иначе.

Изменено 6 сентября, 2017 пользователем ImTheRequiem

[Sandor]

С Защитником вообще туманная история, когда он начал работать как майнер и грузить компьютер

Через его интерфейс зайдите в параметры и отключите.

 

целый список обновлений

Для начала установите это.

[ImTheRequiem]

Защитник был удален с помощью файлового ассасина, поскольку отключить и удалить его никак было нельзя а процессор он грузил стабильно на 10% и компьютер вел себя не так, как должен. Может быть где-то остались его "корни", но сейчас он не показывается нигде.

 

Со вторым... Проблема... Вернее две. Первая - я устанавливал это обновление сразу же после установки системы по ссылке от консулльтанта с ником thyrex. Либо при неудачном апгрейде оно слетело, либо я не знаю что. На всякий случай... Что именно мне надо скачать для Windows 7 x64? Я выбираю для Windows 7 x64 Monthly rollup, я правильно делаю?

UPD: Скачал с другого места, но результат тот же, что и с другими обновлениями

 

 

Изменено 6 сентября, 2017 пользователем ImTheRequiem

[ImTheRequiem]

Через историю System Explorer обнаружил, что во время атаки процессы System и один из svchost устанавливает соединение по IP атаки и через тот же порт. Что это может быть?

Появилась новая информация. решил проверить домашнюю сеть и обнаружил в окружении маршрутизатор WINCTRL-PE2E7DH

Вот так это выглядит:

 

На этом я понимать что-либо просто перестаю.

Изменено 6 сентября, 2017 пользователем ImTheRequiem

[Sandor]

Пробуйте это установить:

 

Изменено 7 сентября, 2017 пользователем Sandor

[ImTheRequiem]

Почему-то мне не разрешает просматривать и скачивать прикрепленные файлы.

Изменено 7 сентября, 2017 пользователем ImTheRequiem

[ImTheRequiem]

Ладно, спасибо за помощь. Переустановлю лучше систему. Если не ставится апдейт против wannacry то смысл оставаться на текущей теряется всякий. Да и сама винда уже выглядит поломанной. Проще всего снести и поставить заново, установив все необходимое с нуля. Если проблема останется, то я еще отпишусь здесь и будем думать дальше, но уже когда все будет работать.