ImTheRequiem 0 Опубликовано 6 сентября, 2017 Share Опубликовано 6 сентября, 2017 (изменено) Итак, чтобы не разливать воду, приведу скриншот окна журнала персонального фаервола NOD32. Хотелось бы услышать мнение специалиста о том, что это может быть и можно ли что-то сделать. Не знаю, считается ли это корректным запросом, но все выглядит как то, чего не должно быть. Вдобавок к показанному на скриншоте, в журнале иногда появляется сообщение об атаке сканирования портов. Периодичность примерно десять минут (сообщение о сканировании куда реже). Мелькали порты: 445, 6036, 80, 443 и по-моему 447 Лог по инструкции из раздела правил составления требуется в данном случае? Что-то еще? Проблема требует решения или как поступить в данной ситуации? Были проверки компьютера с помощью NOD32, CureIt (нашел безобидный мусор), MBAM, AdwCleaner, KVRT и все кроме кюрейта никакой реакции ни на что. Изменено 6 сентября, 2017 пользователем ImTheRequiem Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 6 сентября, 2017 Share Опубликовано 6 сентября, 2017 Здравствуйте! Атака на брешь в системеЗакройте эту самую брешь. Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Цитата Ссылка на сообщение Поделиться на другие сайты
ImTheRequiem 0 Опубликовано 6 сентября, 2017 Автор Share Опубликовано 6 сентября, 2017 Сейчас этим займусь. Скажите, эта атака происходит каким образом? В смысле, у всей семьи ноутбуки и роутера нет, подключаемся напрямую. Будут ли подвержены ей компьютеры, которые будут выходить в сеть по этому кабелю? Извините, если вопрос звучит как-то глупо, я просто не знаю как корректно его сформулировать. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 6 сентября, 2017 Share Опубликовано 6 сентября, 2017 Вышеприведенный скрипт можете выполнить на любом компьютере. Логи по правилам раздела все же соберите и прикрепите. Цитата Ссылка на сообщение Поделиться на другие сайты
ImTheRequiem 0 Опубликовано 6 сентября, 2017 Автор Share Опубликовано 6 сентября, 2017 (изменено) Обновления оказались неприменимы. Думаю здесь на то, что у меня семерка, которая считает себя максимальной, но на деле ничего не устанавливала в себя дополнительно из-за отключенных обновлений. Вот лог. Атаки возобновились. Порт 445 CollectionLog-2017.09.06-16.21.zip Изменено 6 сентября, 2017 пользователем ImTheRequiem Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 6 сентября, 2017 Share Опубликовано 6 сентября, 2017 По-вашему, чем больше антивирусов, тем лучше? AV: Kaspersky Internet Security AV: ESET Smart Security Да еще Защитник и Malwarebytes, версия 3.1.2.1733 Оставьте один антивирус, остальные удалите. Чистка системы после некорректного удаления антивируса. Обновления оказались неприменимыПоясните, можно скриншотами. Internet Explorer тоже следует обновить до 11 версии. Цитата Ссылка на сообщение Поделиться на другие сайты
ImTheRequiem 0 Опубликовано 6 сентября, 2017 Автор Share Опубликовано 6 сентября, 2017 (изменено) MBAM и AdwCleaner запускаю для проверки всякого мусора, на который антивирус не реагирует. Касперский удалил, но пока без чистки и перезагрузки. С Защитником вообще туманная история, когда он начал работать как майнер и грузить компьютер. Да и скачался он автоматом при установке обновлений через Центр обновления. История следующая. Подумал я как-то, что моя система "голая", поскольку на ней стоят только драйвера "чтобы железо работало" и все. Открыл центр обновления и полез смотреть какие обновления можно ставить, а какие нет. Вычитал, поставил то что интересовало и компьютер взбесился. Еле откатил. К слову, до этого я обращался сюда же по поводу системы до переустановки и ситуация была точно такая же. Вернее, там был целый букет проблем, три майнера и сверху еще сверхнагрузка от обновлений. Тогда я подумал, что инфицирован центр обновления, переставил систему и отключил все обновления. Потом снова подумал, что неплохо бы обновиться хотя бы местами и та же история, но только без майнеров. Но это все прошлое дело. Сейчас меня беспокоят эти атаки сетевого червя, даже нескольких видов (должно быть видно на скриншоте в первом сообщении). Обновления IE и компонентов ActiveX при запуске автономного установщика говорят о том, что они неприменимы к этой системе, хотя и выбраны именно для этой. Уточню, что при этой же проверке, но до "якобы апгрейда" с Домашней расширенной до Максимальной вываливался целый список обновлений KBXXX..., а тут только два пункта про IE и ActiveX (Пока все это писал, выскочило предупреждение об атаке сканирования портов.) Много воды разлил, но уж извините, проблемы в реальной жизни, еще и с компьютером вожусь. Уверен, с лицензионной системой все было бы куда проще и понятнее. Но увы, обстоятельства сложились иначе. Изменено 6 сентября, 2017 пользователем ImTheRequiem Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 6 сентября, 2017 Share Опубликовано 6 сентября, 2017 С Защитником вообще туманная история, когда он начал работать как майнер и грузить компьютерЧерез его интерфейс зайдите в параметры и отключите. целый список обновленийДля начала установите это. Цитата Ссылка на сообщение Поделиться на другие сайты
ImTheRequiem 0 Опубликовано 6 сентября, 2017 Автор Share Опубликовано 6 сентября, 2017 (изменено) Защитник был удален с помощью файлового ассасина, поскольку отключить и удалить его никак было нельзя а процессор он грузил стабильно на 10% и компьютер вел себя не так, как должен. Может быть где-то остались его "корни", но сейчас он не показывается нигде. Со вторым... Проблема... Вернее две. Первая - я устанавливал это обновление сразу же после установки системы по ссылке от консулльтанта с ником thyrex. Либо при неудачном апгрейде оно слетело, либо я не знаю что. На всякий случай... Что именно мне надо скачать для Windows 7 x64? Я выбираю для Windows 7 x64 Monthly rollup, я правильно делаю? UPD: Скачал с другого места, но результат тот же, что и с другими обновлениями Изменено 6 сентября, 2017 пользователем ImTheRequiem Цитата Ссылка на сообщение Поделиться на другие сайты
ImTheRequiem 0 Опубликовано 6 сентября, 2017 Автор Share Опубликовано 6 сентября, 2017 (изменено) Через историю System Explorer обнаружил, что во время атаки процессы System и один из svchost устанавливает соединение по IP атаки и через тот же порт. Что это может быть? Появилась новая информация. решил проверить домашнюю сеть и обнаружил в окружении маршрутизатор WINCTRL-PE2E7DH Вот так это выглядит: На этом я понимать что-либо просто перестаю. Изменено 6 сентября, 2017 пользователем ImTheRequiem Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 7 сентября, 2017 Share Опубликовано 7 сентября, 2017 (изменено) Пробуйте это установить: Изменено 7 сентября, 2017 пользователем Sandor Цитата Ссылка на сообщение Поделиться на другие сайты
ImTheRequiem 0 Опубликовано 7 сентября, 2017 Автор Share Опубликовано 7 сентября, 2017 (изменено) Почему-то мне не разрешает просматривать и скачивать прикрепленные файлы. Изменено 7 сентября, 2017 пользователем ImTheRequiem Цитата Ссылка на сообщение Поделиться на другие сайты
ImTheRequiem 0 Опубликовано 7 сентября, 2017 Автор Share Опубликовано 7 сентября, 2017 Ладно, спасибо за помощь. Переустановлю лучше систему. Если не ставится апдейт против wannacry то смысл оставаться на текущей теряется всякий. Да и сама винда уже выглядит поломанной. Проще всего снести и поставить заново, установив все необходимое с нуля. Если проблема останется, то я еще отпишусь здесь и будем думать дальше, но уже когда все будет работать. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.