Host process for Windows services хочет в интернет

[ImHackcraft]

Здравствуйте. Я уже обращался к вам насчет постоянных сетевых атак и висящем dllhost в диспетчере задач. К сожалению, причину найти не удалось, поэтому прибегли к методу топора - переустановке Windows. 

 

Пользуюсь Kaspersky Internet Security, как и любой другой антивирус (кроме malwarebytes единоразово), что тогда, что сейчас он не видит никаких угроз на моем компьютере. Теперь я использую роутер, который блокирует сетевые атаки (которые продолжались не смотря на установленный патч SMB).

 

KIS больше не отражает сетевые атаки, их нет, однако в сетевой активности программ время от времени

 

Host process for Windows services по исходящему соединению через 80 порт, лезет на 91.223.19.242 (а входящий траффик этого адреса с килобатной скоростью проявляет активность) - Какой-то Украинский IP! Расследование в гугле привело меня к выводу, что он как-то связан с сайтом MSN. Так оно и оказалось. Если зайти на MSN.com, среди множества подключений появится этот IP, но может использовать другой порт (443, например).

 

Пока оформлял запрос, появился ещё один редкий аналогичный запрос на 217.13.215.40:80.

 

Исходя из опыта сетевых атак я понимаю, что IP может и не иметь значения, но 91.223.19.242 появляется каждый день по нескольку раз и не изменяется, а я сижу за NAT роутера.

 

Лог Autologger прикрепляю. 

CollectionLog-2018.09.11-13.12.zip

Изменено 11 сентября, 2018 пользователем ImHackcraft

[regist]

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/, http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.

@ImHackcraft, и к телеметрии со стороны MS как относитесь?

[ImHackcraft]

Не знаю, правильно ли я сделал, но получилось вот это:

 

К телеметрии нейтрален, но раз я на неё трачу столько времени - теперь отрицательно. Но оба ли IP - она самая?

Да уж, на архив это не похоже, тем более тяжелый. Но я попытался ещё раз с запуском от имени администратора - только этот файл + txt файл обновляются в этот момент времени в данной директории.

Report.7z

Изменено 11 сентября, 2018 пользователем ImHackcraft

[regist]

@ImHackcraft, архив тот, но почему-то в него не попал файл

C:\Users\Администратор\Downloads\AutoLogger-test\AutoLogger\CrashDumps\Check Browsers LNK.exe.1952.dmp

просьба заархивируйте его и пришлите.

+ - сделайте лог Check Browsers' LNK by Dragokas & regist.
 

По поводу телеметрии, у вас в заданиях системы есть такое

O22 - Task: (telemetry) \Microsoft\Windows\Application Experience\ProgramDataUpdater - C:\Windows\system32\rundll32.exe aepdu.dll,AePduRunUpdate

Самое простое это просто его "Пофиксите" в HijackThis.

Но существует мнение, что удалённные задания могут быть возвращены со следующим обновлением системы и поэтому их лучше отключать, а не удалять. Для того чтобы отключить надо открыть планировщик задач виндоус. там найти это задание и отключить.

Но раз уже создали тему в соседнем разделе, то если будут вопросы по планировщику, то лучше их задавать там. Либо просто пофиксьте эту строчку .

[ImHackcraft]

лог Check Browsers' LNK by Dragokas & regist.

 

C:\Users\Администратор\Downloads\AutoLogger-test\AutoLogger\CrashDumps\ Отсутствует. А я скачивал autologger в чистую папку дважды. (Всмысле полностью выполнил изначальный проверочный скрипт, ребутнулся, выполнил вашу рекомендацию.)

 

Сейчас попробую выполнить задачу, что мы нашли. Посмотрим, на какой ip она обратится. Она выполнилась, но я не заметил сетевой активности в KIS.

 

Что-то браузер всегда открывается свернутым в окно. Доаутологался.

Check_Browsers_LNK.log

Изменено 11 сентября, 2018 пользователем ImHackcraft

[regist]

Больше ничего плохого.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.