Перейти к содержанию

"Атака на брешь в системе..."


Рекомендуемые сообщения

Итак, чтобы не разливать воду, приведу скриншот окна журнала персонального фаервола NOD32.

post-46603-0-48315300-1504689238_thumb.png

Хотелось бы услышать мнение специалиста о том, что это может быть и можно ли что-то сделать. Не знаю, считается ли это корректным запросом, но все выглядит как то, чего не должно быть. Вдобавок к показанному на скриншоте,  в журнале иногда появляется сообщение об атаке сканирования портов. Периодичность примерно десять минут (сообщение о сканировании куда реже). Мелькали порты: 445, 6036, 80, 443 и по-моему 447

Лог по инструкции из раздела правил составления требуется в данном случае? Что-то еще? Проблема требует решения или как поступить в данной ситуации?

Были проверки компьютера  с помощью NOD32, CureIt (нашел безобидный мусор), MBAM, AdwCleaner, KVRT и все кроме кюрейта никакой реакции ни на что.

Изменено пользователем ImTheRequiem
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Атака на брешь в системе

Закройте эту самую брешь.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты

Сейчас этим займусь. Скажите, эта атака происходит каким образом? В смысле, у всей семьи ноутбуки и роутера нет, подключаемся напрямую. Будут ли подвержены ей компьютеры, которые будут выходить в сеть по этому кабелю? Извините, если вопрос звучит как-то глупо, я просто не знаю как корректно его сформулировать.

Ссылка на сообщение
Поделиться на другие сайты

Вышеприведенный скрипт можете выполнить на любом компьютере.

Логи по правилам раздела все же соберите и прикрепите.

Ссылка на сообщение
Поделиться на другие сайты

Обновления оказались неприменимы. Думаю здесь на то, что у меня семерка, которая считает себя максимальной, но на деле ничего не устанавливала в себя дополнительно из-за отключенных обновлений.

 

Вот лог.

Атаки возобновились. Порт 445

CollectionLog-2017.09.06-16.21.zip

Изменено пользователем ImTheRequiem
Ссылка на сообщение
Поделиться на другие сайты

По-вашему, чем больше антивирусов, тем лучше? :)

AV: Kaspersky Internet Security

AV: ESET Smart Security

Да еще Защитник и Malwarebytes, версия 3.1.2.1733

 

Оставьте один антивирус, остальные удалите.

Чистка системы после некорректного удаления антивируса.

 

Обновления оказались неприменимы

Поясните, можно скриншотами.

 

Internet Explorer тоже следует обновить до 11 версии.

Ссылка на сообщение
Поделиться на другие сайты

MBAM и AdwCleaner запускаю для проверки всякого мусора, на который антивирус не реагирует. Касперский удалил, но пока без чистки и перезагрузки.

 

С Защитником вообще туманная история, когда он начал работать как майнер и грузить компьютер. Да и скачался он автоматом при установке обновлений через Центр обновления.

История следующая. Подумал я как-то, что моя система "голая", поскольку на ней стоят только драйвера "чтобы железо работало" и все. Открыл центр обновления и полез смотреть какие обновления можно ставить, а какие нет. Вычитал, поставил то что интересовало и компьютер взбесился. Еле откатил. К слову, до этого я обращался сюда же по поводу системы до переустановки и ситуация была точно такая же. Вернее, там был целый букет проблем, три майнера и сверху еще сверхнагрузка от обновлений. Тогда я подумал, что инфицирован центр обновления, переставил систему и отключил все обновления. Потом снова подумал, что неплохо бы обновиться хотя бы местами и та же история, но только без майнеров.

Но это все прошлое дело. Сейчас меня беспокоят эти атаки сетевого червя, даже нескольких видов (должно быть видно на скриншоте в первом сообщении).

Обновления IE и компонентов ActiveX при запуске автономного установщика говорят о том, что они неприменимы к этой системе, хотя и выбраны именно для этой. Уточню, что при этой же проверке, но до "якобы апгрейда" с Домашней расширенной до Максимальной вываливался целый список обновлений KBXXX..., а тут только два пункта про IE и ActiveX

(Пока все это писал, выскочило предупреждение об атаке сканирования портов.)

 

Много воды разлил, но уж извините, проблемы в реальной жизни, еще и с компьютером вожусь. Уверен, с лицензионной системой все было бы куда проще и понятнее. Но увы, обстоятельства сложились иначе.

Изменено пользователем ImTheRequiem
Ссылка на сообщение
Поделиться на другие сайты

С Защитником вообще туманная история, когда он начал работать как майнер и грузить компьютер

Через его интерфейс зайдите в параметры и отключите.

 

целый список обновлений

Для начала установите это.
Ссылка на сообщение
Поделиться на другие сайты

Защитник был удален с помощью файлового ассасина, поскольку отключить и удалить его никак было нельзя а процессор он грузил стабильно на 10% и компьютер вел себя не так, как должен. Может быть где-то остались его "корни", но сейчас он не показывается нигде.

 

Со вторым... Проблема... Вернее две. Первая - я устанавливал это обновление сразу же после установки системы по ссылке от консулльтанта с ником thyrex. Либо при неудачном апгрейде оно слетело, либо я не знаю что. На всякий случай... Что именно мне надо скачать для Windows 7 x64? Я выбираю для Windows 7 x64 Monthly rollup, я правильно делаю?

UPD: Скачал с другого места, но результат тот же, что и с другими обновлениями

 

 

post-46603-0-85591900-1504707239_thumb.png

Изменено пользователем ImTheRequiem
Ссылка на сообщение
Поделиться на другие сайты

Через историю System Explorer обнаружил, что во время атаки процессы System и один из svchost устанавливает соединение по IP атаки и через тот же порт. Что это может быть?


Появилась новая информация. решил проверить домашнюю сеть и обнаружил в окружении маршрутизатор WINCTRL-PE2E7DH

Вот так это выглядит:

post-46603-0-17751300-1504727668_thumb.png

 

На этом я понимать что-либо просто перестаю.

Изменено пользователем ImTheRequiem
Ссылка на сообщение
Поделиться на другие сайты

Почему-то мне не разрешает просматривать и скачивать прикрепленные файлы.

Изменено пользователем ImTheRequiem
Ссылка на сообщение
Поделиться на другие сайты

Ладно, спасибо за помощь. Переустановлю лучше систему. Если не ставится апдейт против wannacry то смысл оставаться на текущей теряется всякий. Да и сама винда уже выглядит поломанной. Проще всего снести и поставить заново, установив все необходимое с нуля. Если проблема останется, то я еще отпишусь здесь и будем думать дальше, но уже когда все будет работать.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...