Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Съмнение за вирус Win10


Препоръчан отговор

Здравейте, на скоро ми излезе един попъп :

image.png.d7d46aed863f637338cd50eeeb333d96.png

И понеже нямах антивирусна преди това исках да направя профилактична проверка.

Прикачвам FRST & Adition.

Adition - https://dox.abv.bg/download?id=ec814d8d64# - Линк за сваляне
ckfiles - https://dox.abv.bg/download?id=e280a29d87# - Линк за сваляне

FRST - https://dox.abv.bg/download?id=bb2866b435# - Линк за сваляне

Днес като стартирах PC  видях за около части от секундата 4 терминала които се отвориха и затвориха.

 

Благодаря предварително.

Поздрави :)

Линк към коментара
Сподели в други сайтове

Добре, радвам се, че вече темата ви успя да се публикува, както се разбрахме на Лични.

Аз обаче се налага да излизам така че оставям на колегите случая. Ако до довечера никой не е писал, че се включа.

Успешен ден!

Линк към коментара
Сподели в други сайтове

Здравейте,

Прегледах лог файловете и не открих зловреден софтуер. Това, което е блокирано гледам е порт 137, който обикновено се ползва от NetBios over IP. В днешно време ако системата е зад рутер можете спокойно да блокирате NetBios over IP и SMB трафика. Видях, че сте се опитали да го спрете през стената:

FirewallRules: [{D1A92F5C-107F-4696-8A0F-58CF1D678BF6}] => (Block) LPort=137

но това правило не е достатъчно.

Бих добавил и следните за блокиране на Netbios и SMB:

netsh advfirewall firewall add rule name="NetBIOS UDP Port 137" dir=in action=block protocol=UDP localport=137
netsh advfirewall firewall add rule name="NetBIOS UDP Port 137" dir=out action=block protocol=UDP localport=137
netsh advfirewall firewall add rule name="NetBIOS UDP Port 138" dir=in action=block protocol=UDP localport=138
netsh advfirewall firewall add rule name="NetBIOS UDP Port 138" dir=out action=block protocol=UDP localport=138
netsh advfirewall firewall add rule name="NetBIOS TCP Port 139" dir=in action=block protocol=TCP localport=139
netsh advfirewall firewall add rule name="NetBIOS TCP Port 139" dir=out action=block protocol=TCP localport=139
netsh advfirewall firewall add rule name="SMB UDP Port 445" dir=in action=block protocol=UDP localport=445
netsh advfirewall firewall add rule name="SMB UDP Port 445" dir=out action=block protocol=UDP localport=445
netsh advfirewall firewall add rule name="SMB TCP Port 445" dir=in action=block protocol=TCP localport=445
netsh advfirewall firewall add rule name="SMB TCP Port 445" dir=out action=block protocol=TCP localport=445

Ако не ползвате и RDP протокола бих препоръчал да спрете и него:

netsh advfirewall firewall add rule name="Disable RDP TCP 3389 IN" dir=in action=block protocol=tcp localport=3389
netsh advfirewall firewall add rule name="Disable RDP UDP 3389 IN" dir=in action=block protocol=udp localport=3389
netsh advfirewall firewall add rule name="Disable RDP TCP 3389 OUT" dir=out action=block protocol=tcp remoteport=3389
netsh advfirewall firewall add rule name="Disable RDP UDP 3389 OUT" dir=out action=block protocol=udp remoteport=3389

Специално за SMB и NetBios могат да се спрат и от - настройките на мрежовата карта:

Image-204.png

И от Windows Features: (тук е възможно само за SMBv1.0 - SMBv2.0 и SMBv3.0 не е препоръчително да се изключват съвсем, защото са все още ползвани в редица услуги).

Image-205.png

А гледам, че ползвате и qbittorrent. MBAM често блокира заявки ако в момента клиента е активен, защото тогава машината се свързва с множество адреси и някои от тях може да са в техния blacklist.

Иначе имам някои въпроси и препоръки.

AV: Norton Security (Enabled - Up to date) {1122B19A-E671-38EC-8EAC-87048FD4528D}
AV: Norton Security (Enabled - Up to date) {A2708B76-6835-6565-CB96-694212954A75}

AV: Bitdefender Antivirus Free Antimalware (Enabled - Up to date) {BAD274F4-FA00-8560-1CDE-6C830442BEFA}
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
FW: Norton Security (Enabled) {9A4B0A53-225A-643D-E0C9-C077EC460D0E}
FW: Norton Security (Enabled) {291930BF-AC1E-39B4-A5F3-2E31710715F6}

Щом ползвате Bitdefender Free + Glasswire + MBAM, за мен не е нужно да държите Windows Defender активен и е добре да почистите остатъците от Norton Security. Не го видях инсталиран, а само регистриран в Security Center-a и това лесно можем да го почистим, но е добре да стартирате и техния инструмент:

https://www.kaldata.com/софтуер/norton-removal-tool-49411.html

Промените по HOSTS файла вие ли сте ги правили?

А прокситата познати ли са ви?

AutoConfigURL: [{391EB30D-C90B-4582-900B-4FE88C89752E}] => hxxp://127.0.0.1:52983/proxy.pac
AutoConfigURL: [{8C4037E9-A954-4DCC-900D-1F82C2ADB8AF}] => hxxp://127.0.0.1:49956/proxy.pac
AutoConfigURL: [{C2E55B8B-9739-4522-AFA2-D4260C3AB557}] => hxxp://127.0.0.1:60535/proxy.pac
AutoConfigURL: [{C4EF45C7-8831-485F-9876-038866774C7F}] => hxxp://127.0.0.1:49956/proxy.pac
AutoConfigURL: [{F11A802E-F239-4933-85BD-4734F6C9D169}] => hxxp://127.0.0.1:59028/proxy.pac

Това е засега от мен.

Поздрави!

Линк към коментара
Сподели в други сайтове

Здравейте,

благодаря за информацията!

Блокирах и останалите портове (138,139,445) но оставих RDP защото понякога ми се налага да го използвам.

Относно защитните софтуери, премахнах останките на Norton (аз също видях някакви остатъчни регистри в петък и се зачудих от къде са, нямам спомен да съм слагал Norton ... , може би преди доста време.)

премахнах и MBAM , спрях Win Defender-a и оставих само BitDefender , уикенда ми излезе оферта за една година и реших да се възползвам от нея.

По hosts не съм добавял нищо ръчно, миналата седмица само затрих едни Example стойности за да проверя дали антивирусната засича промени по hosts файла.

Прокситата също не съм ги слагал аз. Може да са изтеглени от VPN-a на работодателя, но могат да се изтрият, ако някое ми трябва - то ще се свали автоматично.

Оставам на разположение за по-нататъчни инструкции.

Поздрави.

 

П.С

Исках да Ви попитам какво означават следните:

c:\windows\winsxs\amd64_openssh-common-components-onecore_31bf3856ad364e35_10.0.19041.1_none_72978a504f1cdef7\ssh-keygen.exe
c:\windows\winsxs\amd64_openssh-common-components-onecore_31bf3856ad364e35_10.0.19041.329_none_9ab860b70e7bbcc8\ssh-keygen.exe
c:\windows\winsxs\amd64_openssh-common-components-onecore_31bf3856ad364e35_10.0.19041.964_none_9a882af90ea09cc3\ssh-keygen.exe
c:\windows\winsxs\amd64_openssh-common-components-onecore_31bf3856ad364e35_10.0.19041.964_none_9a882af90ea09cc3\f\ssh-keygen.exe
c:\windows\winsxs\amd64_openssh-common-components-onecore_31bf3856ad364e35_10.0.19041.964_none_9a882af90ea09cc3\r\ssh-keygen.exe

Това генерира някакви SSH ключове или стартира някакъв shell :? 

Също така , много интересно защо се стартират някакви Shell прозорци при стартиране на windows (не винаги ги виждам).

 

 

Линк към коментара
Сподели в други сайтове

Здравейте,

Чудесно. BitDefender + GlassWire би трябвало да са достатъчни. Само не съм сигурен дали за GlassWire не трябва да работи и Windows Firewall-a, защото не съм ползвал GlassWire. Та тук мисля, няма да е проблем да стоят и двете стени активни.

Да продължим така:

Изтеглете fixlist.txt и го запазете в папката, където сте свалили FRST64.exe (на десктопа).

Стартирайте FRST64.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - Fixlog.txt, който ще се създаде след работата на програмата.

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

Щях да питам дали после наблюдавате проблема със съобщението за блокирани връзки от MBAM, но вие пък сте премахнали и нея. Ако искате я върнете за проверим дали сме запушили проблема и после пак можете да я махнете. (Аз за нея не бях казвал всъщност да я деинсталирате на този етап, но нищо). ;)

Поздрави!

Линк към коментара
Сподели в други сайтове

Здравейте и благодаря за бързия отговор,

изпълних fixlist-a  , прикачвал fixlog.txt.

MBAM я изтрих по препоръка на BitDefender-ската инсталация. Total security на defender-a би трябвало да има същата функция , поне при сравнението ми се стори така.

Мога да я върна и ще проверя , но не знам при какви обстоятелства бяха онези опити за връзка. Ще пробвам пак да видя дали блокира докато изтече Trial периода.
Поздрави.

Fixlog.txt

Линк към коментара
Сподели в други сайтове

Моя грешка. Аз помислих, че снимката е от MBAM горе, защото има подобен интерфейс в 4-та версия. Ок тогава. Няма нужда да я връщате.

Изпълнете сега следния скрипт:

fixlist.txt

И прикачете новия Fixlog.txt.

След това наблюдавайте системата си известно време и пишете дали още има изходящи връзки през порт 137.

Поздрави!

Линк към коментара
Сподели в други сайтове

Да, снимката по-горе е от MBAM, но когато купувах Bitdefender видях че има подобна функция за блокиране на връзките.

Все пак инсталирах MBAM докато има Trial период , тъкмо ще направя сравнение дали се справят еднакво. Надявам се не е проблем за двете да работят едновременно.

Ще мониторирам изходящите връзки следващата седмица.

Прикачвам FIxLog.txt

Поздрави :)

Fixlog.txt

Линк към коментара
Сподели в други сайтове

Всичко изглежда наред. Имам само един въпрос. Спирали ли сте Windows Update услугата? Защото една задача не е успяла да се изчисти от BITS протокола.

Цитат

========= Bitsadmin /Reset /Allusers =========


BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.

Unable to cancel {D68FE2C7-F5AD-4056-9304-E9092C800415}.
0 out of 1 jobs canceled.


========= End of CMD: =========

 

Линк към коментара
Сподели в други сайтове

Не, не съм пипал по ъпдейтите на Windows-a.

След като инсталирах MBAM Tiral отново, пуснах един torrent и веднага блокира изходящи и входящи конекции:
image.png.c7a50c27bdb2b3147632c552dcfed4d3.png

Съдържанието на торента се свали без проблем, това какво означава ? Че най вероятно това IP е в блеклиста на MBAM ? Ако е така , защо прави няколко опита за връзка, входяща и изходяща ?

За съжаление BitDefender-a даже не разбира че се случва нещо подобно. Toй пък засече следния алерт:

image.png.c0a14cbf19c738f418a79b0dc2e82c08.png

Означава ли че имам някакъв backdoor някъде или е false alarm?

Благодаря предварително.

Поздрави

 

 

P.S

Видях че това е някакъв сървис на майкрософт  и го пуснах.

 

 

Ps.2

След като Allow-нах по горния SystemSettings отново започнаха конекции на 137ми порт от различни IP-та.

Това е при спрян bittorent...
image.png.69e6c417f36739fe88d19bc5bdd732ff.png

 

Линк към коментара
Сподели в други сайтове

Е това може да се игнорира. Говорихме само за изходящите връзки през порт 137. Не че тогава сте показали от кое приложение или процес са, но тези вече са си от torrent клиента и там е нормално. Той прави входящи и изходящи връзки - нали се връзва с peer-и, нали сийдва и т.н. Торент клиент не го броим изобщо, нито програми за отдалечен контрол, нито месинджъри и т.н.

Колкото до това, кой какво разбира, на автоматик толкова. Правилата в стената често се правят според нужните, но там се изискват определени познания. Различните стени третират по-различен начин протоколите. Колкото до MBAM тяхното, не е типичната стена (а web филтър базиран на iphosts). Те закупиха и Windows Firewall Control, не не знам дали е още само като отделна програма или са я вградили в програмата си като функционалност.

SystemSettings е легитимен процес, така че не е нито Backdoor, нито фалшива тревога. Най-много да е някаква телеметрия към Microsoft.

Няма нужда да пускате BITS на automatic. Тя ще се пусне сама от Windows Update, когато е нужно това щом не сте пипали настройките. Преди да приключим, защото системата е чиста изпълнете тази команда от Command Prompt стартиран с десен бутон и Run as administrator:

Dir /b c:\*qmgr0.dat* /s >> "%userprofile%\desktop\dir.txt"

След това прикачете лог файла dir.txt, който ще се създаде на десктопа, след като командата приключи.

Линк към коментара
Сподели в други сайтове

C:\WINDOWS\system32>Dir /b c:\*qmgr0.dat* /s >> "%userprofile%\desktop\dir.txt"
File Not Found

Не намира файла, предполагам търси в C:\ProgramData\Microsoft\Network\Downloader , но там го няма.

Иначе след като направихме горните няколко фикса + рестарти, MBAM започна жесток спам , при това torrentа e изключен.

Мислех че сме блокирали тези портове успешно.

image.png.6fb35a506b6923c1258b97c486bbbd69.png

Линк към коментара
Сподели в други сайтове

А рестартирахте ли системата? Трябва да имате такъв файл. Той се създава автоматично от BITS услугата.

Колкото до заявките...правилно ли изпълнихте стъпките по спирането на NetBios? Отделно може би трябва да прегледате и настройките на рутера си:

https://forums.malwarebytes.com/topic/128981-blocking-outgoing-port-137/?do=findComment&comment=699876

Това не означава, че системата е заразена, но е добре да се изключват ненужните пробойни.

Линк към коментара
Сподели в други сайтове

Да рестартирах.

Няма го файла , поне не на C:\

Относно заявките , оказа се че някак си Bitdefender-ския Firewall е изключил Windows Firewall-a.

Включих го отново и руловете заработиха.Блокирах ги и в BitDefender за всеки случай.
Сега как ще процедираме ? Оставам на разположение.

Линк към коментара
Сподели в други сайтове

Ами то може тези правила да се приложат предполагам и за стената на Bitdefender, но не съм му ползвал интерфейса. Вече трябва да си го разучите, защото няма нужда според мен от две стени едновременно. Или пък спрете стената на Bitdefender-a или преминете на безплатния им продукт. Не знам, тук вече вие си решавате.

Ами как да процедираме...да преминем към премахването на използваните от нас неща, защото системата е чиста и без това.

За да премахнем Farbar Recovery Scan Tool направете следното:

Преименувайте изпълнимия файл FRST64.exe на Uninstall.exe.

image.png.9cf9e0ab76b122782aff3552f54c5829.png     =>     image.png.44f957ce25ef61c76206655a46425152.png

Кликнете с десен бутон на мишката върху Uninstall.exe и изберете Run as administrator. Ще бъдете уведомени, че трябва да рестартирате системата, за да изтриете инструмента.

image.png.abcc20b28654d54fae08e7451bb5dc3b.png

След рестарта инструмента и прилежащите към него файлове ще бъдат изтрити.

 

Изтеглете KpRm от kernel-panik и го запишете на вашия работен плот. 

  • Щракнете с десния бутон върху kprm_2.9.exe и изберете Run as administrator
  • Когато инструментът се отвори сложете всички отметки без тази пред Delete in 7 days и натиснете бутона Run.

tu0PFmt.png

  • След като приключите, щракнете върху OK. 
  • В Notepad ще се отвори лог файла, копирайте съдържанието му в следващия си отговор.

Ако има останали файлове, папки и т.н. от използваните от нас неща, то ги изтрийте ръчно.

Колкото до файловете qmgr0.dat и qmgr1.dat не е болка за умиране, но по принцип аз обичам да занулявам задачите на BITS услугата, защото макар и рядко може да се използват за злонамерени цели.

Ако все пак ръчно пуснете проверка за актуализации на Windows проверете дали файловете не са се създали отново.

Поздрави!

Линк към коментара
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.
Бележка: Вашата публикация изисква одобрение от модератор, преди да стане видима за всички.

Гост
Публикацията ви съдържа термини, които не допускаме! Моля, редактирайте съдържанието си и премахнете подчертаните думи по-долу. Ако замените букви от думата със звездички или друго, за да заобиколите това предупреждение, профилът ви ще бъде блокиран и наказан!
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.

 Сподели

×
×
  • Добави ново...