Решена Обнаружена атака типа сканирование портов

Статус
В этой теме нельзя размещать новые ответы.

Moxito

Вечная память
Сообщения
421
Реакции
41
Всем привет!

1564222726953.png


Собственно, сверху и уся проблема. Про "изменено с момента последнего открытия" это фаерволл сработал на Хром.


Попрошу игнорировать это:
>> Заблокирована настройка автоматического обновления
>> Заблокирован запуск Центра мобильности Windows
>> Отключены предупреждения при открытии файлов, загруженных из Интернет

1564223041956.png



Может, подхватил кто-то, ибо не я один в эту неделю сидел за компом.

Спасибо!
 

Вложения

  • CollectionLog-2019.07.27-13.24.zip
    106.3 KB · Просмотры: 1
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\WINDOWS\services.exe','');
 DeleteFile('C:\WINDOWS\services.exe','32');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O2 - HKLM\..\BHO: (no name) - AutorunsDisabled - (no file)
O9 - Button: HKLM\..\AutorunsDisabled: (no name) - (no file)

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
1564235837763.png


Размер файла, байт:79408723
MD5:*7425
 

Вложения

  • AdwCleaner[S00].txt
    3.4 KB · Просмотры: 1
  • Like
Реакции: akok
  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Если мешают, то можно и удалить.
 
вот
 

Вложения

  • AdwCleaner[C00].txt
    3.3 KB · Просмотры: 2
  • FRST.txt
    110.2 KB · Просмотры: 2
  • Addition.txt
    63.9 KB · Просмотры: 1
По IP из первого, что это за машина в сети?
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\WINDOWS\system32\DrtmAuth8.bin;
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    HKU\S-1-5-21-1057083626-9864540-4078897856-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
    HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
    Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} -  No File
    ContextMenuHandlers5: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
наверное sim dashboard пытался к телефону подключится.
да, именно так, но sep задумал заблокировать одну из посылок по udp, телефон же сам отключается от вай-фай при спящем режиме более 10мин, наверное это и была причина
 
Отлично, что разобрались. В логах больше нет ничего интересного.

Подготовьте лог SecurityCheck by glax24
 
SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 28.07.2019 12:45:37
Path starting: C:\Users\Moxito\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Moxito
VersionXML: 6.40s-15.05.2019
___________________________________________________________________________

Windows 10(6.3.17763) (x64) CoreSingleLanguage Версия: 1809 Lang: Russian(0419)
Дата установки ОС: 27.12.2018 19:27:57
Статус лицензии: Windows(R), CoreSingleLanguage edition Постоянная активация прошла успешно.
Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Windows находится в режиме уведомления
Режим загрузки: Normal
Браузер по умолчанию: C:\Users\Moxito\AppData\Local\Google\Chrome SxS\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [117 Гб] Занято: [67 Гб] Свободно: [50 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.615.17763.0 [+]
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Уведомлять о загрузке и установке обновлений
Автоматическое обновление отключено
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2007 v.12.0.6612.1000
Microsoft Office 2016 x86 v.16.0.4266.1001
---------------------------- [ Antivirus_WMI ] ----------------------------
Symantec Endpoint Protection (включен)
---------------------------- [ Firewall_WMI ] -----------------------------
Symantec Endpoint Protection (включен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Symantec Endpoint Protection v.14.2.770.0000
McAfee WebAdvisor v.4.1.0.43
-------------------------- [ SecurityUtilities ] --------------------------
Unchecky v1.2 v.1.2
VirusTotal Uploader 2.2
AdGuard v.7.1.2817.0
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.19.0.107 v.3.19.0.107 [+]
Oracle VM VirtualBox 6.0.0 v.6.0.0 Внимание! Скачать обновления
Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
K-Lite Mega Codec Pack 14.9.4 v.14.9.4
TeamViewer 14 v.14.2.8352
Wireshark 3.0.3 64-bit v.3.0.3 [+]
Microsoft Silverlight 5.1 v.5.1.5001 Внимание! Скачать обновления
Microsoft Office Excel 2007 Help Обновление (KB963678) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Powerpoint 2007 Help Обновление (KB963669) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Outlook 2007 Help Обновление (KB963677) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Word 2007 Help Обновление (KB963665) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Proof (German) 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком.
Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком.
Microsoft Office Proof (English) 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком.
Microsoft Office Proof (Russian) 2007 v.12.0.4804.1000 Данная программа больше не поддерживается разработчиком.
Microsoft Office Proof (Ukrainian) 2007 v.12.0.4804.1000 Данная программа больше не поддерживается разработчиком.
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Proofing (Russian) 2007 v.12.0.4804.1000 Данная программа больше не поддерживается разработчиком.
TeamViewer 14 (TeamViewer) - Служба работает
-------------------------------- [ Arch ] ---------------------------------
7-Zip 18.05 (x64) v.18.05 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.71 (64-разрядная) v.5.71.0
--------------------------------- [ IM ] ----------------------------------
Discord v.0.0.305
Viber v.9.9.5.12 Внимание! Скачать обновления
^Необязательное обновление.^
Skype, версия 8.46 v.8.46 [+]
Skype 8.46 v.8.46.0.60 [+]
---------------------------- [ ProxyAndVPNs ] -----------------------------
Windscribe v.1.83 Build 20
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45291 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 191 (64-bit) v.8.0.1910.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u211-windows-x64.exe)^
Java SE Development Kit 8 Update 181 (64-bit) v.8.0.1810.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u211-windows-x64.exe)^
Java SE Development Kit 8 Update 191 (64-bit) v.8.0.1910.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u211-windows-x64.exe)^
Java 8 Update 192 v.8.0.1920.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u211-windows-i586.exe)^
Java 8 Update 202 v.8.0.2020.8 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u211-windows-i586.exe)^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.73.0.3683.75 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Opera Stable 57.0.3098.91 v.57.0.3098.91 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera Stable 58.0.3135.107 v.58.0.3135.107 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera Stable 62.0.3331.72 v.62.0.3331.72 [+]
------------------ [ AntivirusFirewallProcessServices ] -------------------
Adguard Service (Adguard Service) - Служба работает
C:\Program Files (x86)\Adguard\AdguardSvc.exe v.7.1.2817.0
C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.770.0000.105\Bin\ccSvcHst.exe v.13.3.1.14
unchecky (unchecky) - Служба работает
C:\Program Files (x86)\Unchecky\bin\unchecky_svc.exe v.1.2.0.0
Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена
Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
UmmyVideoDownloader v.1.10.3.2 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Kerish Doctor 2019 v.4.70 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

обновляю, спасибо)
 
  • Like
Реакции: akok
Удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу