Решена Malwarebytes блокирует исходящий трафик из svchost.exe

  • Автор темы Автор темы Andrea
  • Дата начала Дата начала

Переводчик Google
A

Andrea

Новый пользователь
Сообщения
12
Реакции
1
Здравствуйте. В начале месяца мне взломали telegram (украли куки, я думаю). Успел среагировать, выкинуть сессии и очистить куки. После чего решил установить пару антивирусов на компьютер в попытке найти заражение.
Меньше недели назад мой malwarebytes начал блокировать исходящий трафик из файла svchost.exe и System(?), приложил скрин.
Прогнал файлы на компе ещё через несколько антивирусов, результата нет.
Я не думаю, что эти два события (telegram и svchost.exe) связаны друг с другом, потому что больше недели исходящий трафик антивирусом не блокировался.

Я пирачу софт и игры, но стараюсь делать это аккуратно (в том смысле, что годами пользуюсь сайтами, которым доверяю). Где-то оступился, не знаю где мог подцепить малв.

Прошу помощи.
Погуглил, что на форуме malwarebytes есть подобные проблемы у людей (например, https://forums.malwarebytes.com/top...utbound-connections-being-flagged-what-is-it/).
Возможно это поможет
 

Вложения

Здравствуйте!

HitmanPro 3.8 деинсталлируйте как бесполезный.

То, что вы показали картинкой, попробуйте сохранить в текстовый файл. Если получится, прикрепите его к следующему сообщению. Попробуем проанализировать на что реагирует антивирус.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Явных признаков заражения в логах нет.
Большой список сайтов добавлен в зону доверенных. Нажмите комбинацию Win+R, введите
inetcpl.cpl
Нажмите для раскрытия...
и нажмите Enter. Перейдите на вкладку Безопасность -> Доверенные сайты -> кнопка Сайты. Проверьте, все ли там должны быть.

Два антивируса в системе - много. Оставьте один, второй деинсталлируйте.
 
Надёжные сайты есть, но тут всего 3 позиции
 

Вложения

  • chrome_7zGP9FHhmV.webp
    chrome_7zGP9FHhmV.webp
    45.2 KB · Просмотры: 19
Запустите командную строку от имени администратора и там выполните команду inetcpl.cpl
Проверьте.
 
Результат получился тот же
 
Вот поймал что-то. Какая-то служба FDResPub принимает входящие запросы, которые блокируются этой программной. Исходящие пока поймать не могу.
IP принадлежит DoD, очень похоже на спуфинг
 

Вложения

  • portmaster-app_v0-2-8_ILtWZblaZ9.webp
    portmaster-app_v0-2-8_ILtWZblaZ9.webp
    62.5 KB · Просмотры: 22
Последнее редактирование:
Попутно:
Запустите frst64.exe, в поле Search (Поиск) введите
223.zakazrf.ru
Нажмите для раскрытия...
нажмите Искать в реестре (Registry Search). Итоговый файл SearchReg.txt приложите к следующему сообщению.
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
DelKey: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
AlternateDataStreams: C:\Users\NUC 9\Downloads\VC_redist.x64.exe:MBAM.Zone.Identifier [371]
AlternateDataStreams: C:\Users\NUC 9\AppData\Local\Microsoft:ISBD [96]
FirewallRules: [{5639852C-9745-4267-BFEA-32ACAAEE8826}] => (Allow) C:\Users\NUC 9\Downloads\4ukey.exe => Нет файла
FirewallRules: [{EB5B109F-67B4-4739-B09E-ECC45D4297D6}] => (Allow) C:\Users\NUC 9\Downloads\4ukey.exe => Нет файла
FirewallRules: [{1AD3AD9A-D05B-443D-A355-1CA81783B470}] => (Block) C:\Users\NUC 9\Desktop\Tenorshare_12in1_Keygen_v1.3_By_DFoX.exe => Нет файла
FirewallRules: [TCP Query User{3FB2396C-99D9-438C-9BC2-E436051D8DF3}C:\anton\diablo iii\x64\diablo iii64.exe] => (Allow) C:\anton\diablo iii\x64\diablo iii64.exe => Нет файла
FirewallRules: [UDP Query User{F9B73400-2EF4-4F68-8727-2745A32A1E1E}C:\anton\diablo iii\x64\diablo iii64.exe] => (Allow) C:\anton\diablo iii\x64\diablo iii64.exe => Нет файла
FirewallRules: [TCP Query User{8CB79BFD-57F4-4B26-B844-2999B0A8967B}C:\anton\games\diablo iii\x64\diablo iii64.exe] => (Allow) C:\anton\games\diablo iii\x64\diablo iii64.exe => Нет файла
FirewallRules: [UDP Query User{DAF89D6D-0AA3-46E8-A489-6E46CAFA3D2B}C:\anton\games\diablo iii\x64\diablo iii64.exe] => (Allow) C:\anton\games\diablo iii\x64\diablo iii64.exe => Нет файла
FirewallRules: [TCP Query User{CA900154-D858-474C-857F-DFBDB7197508}C:\users\nuc 9\downloads\sex_beach_girls\sex_beach_girls_final\sex, beach & girls.exe] => (Allow) C:\users\nuc 9\downloads\sex_beach_girls\sex_beach_girls_final\sex, beach & girls.exe => Нет файла
FirewallRules: [UDP Query User{0D6885E8-DB7C-499C-8894-7ECDAA7368F3}C:\users\nuc 9\downloads\sex_beach_girls\sex_beach_girls_final\sex, beach & girls.exe] => (Allow) C:\users\nuc 9\downloads\sex_beach_girls\sex_beach_girls_final\sex, beach & girls.exe => Нет файла
FirewallRules: [TCP Query User{D5B74D6E-9F67-4150-8C83-03CBBA0802B4}C:\users\nuc 9\downloads\anydesk.exe] => (Allow) C:\users\nuc 9\downloads\anydesk.exe => Нет файла
FirewallRules: [UDP Query User{ED68E5E3-4A36-47C6-8218-529F6162216E}C:\users\nuc 9\downloads\anydesk.exe] => (Allow) C:\users\nuc 9\downloads\anydesk.exe => Нет файла
FirewallRules: [{988CB3FF-383A-4717-A45C-32F43861854C}] => (Block) C:\users\nuc 9\downloads\anydesk.exe => Нет файла
FirewallRules: [{3217B019-6879-47A6-B096-F8044399B18D}] => (Block) C:\users\nuc 9\downloads\anydesk.exe => Нет файла
FirewallRules: [{D4157772-B277-4594-BC1F-E32F6D060CAA}] => (Allow) F:\SteamLibrary\steamapps\common\Satisfactory\FactoryGame.exe => Нет файла
FirewallRules: [{DC6AE90A-AE24-454F-BCFF-D5854AC8C4E7}] => (Allow) F:\SteamLibrary\steamapps\common\Satisfactory\FactoryGame.exe => Нет файла
FirewallRules: [TCP Query User{01A22D03-4D5D-42FB-8523-C961C40FA766}C:\anton\games\nfs world\wex\data\nfsw.exe] => (Allow) C:\anton\games\nfs world\wex\data\nfsw.exe => Нет файла
FirewallRules: [UDP Query User{9BFD6715-366B-4BF5-9738-94BA9EFAB03A}C:\anton\games\nfs world\wex\data\nfsw.exe] => (Allow) C:\anton\games\nfs world\wex\data\nfsw.exe => Нет файла
FirewallRules: [TCP Query User{FC212069-C0EF-468C-9151-723EDCEE70E4}F:\games\forhonor\forhonor.exe] => (Allow) F:\games\forhonor\forhonor.exe => Нет файла
FirewallRules: [UDP Query User{8F3452B4-3D6E-4AD9-9E77-0008A34102EA}F:\games\forhonor\forhonor.exe] => (Allow) F:\games\forhonor\forhonor.exe => Нет файла
FirewallRules: [{F7D4DE06-51FA-49CA-A2D9-F7E95A070387}] => (Allow) C:\Anton\Steam\steamapps\common\FINAL FANTASY XIV Online\boot\ffxivboot.exe => Нет файла
FirewallRules: [{4D96ACD4-663D-4899-B257-D705BD393D62}] => (Allow) C:\Anton\Steam\steamapps\common\FINAL FANTASY XIV Online\boot\ffxivboot.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
  • Like
Реакции: akok
Прошу прощения, ошибся в синтаксисе команды. Ещё один скрипт с перезагрузкой выполните:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
DeleteKey: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
  • Like
Реакции: akok
До выключения службы, после перезагрузки были запросы на FDResPub.
После выключения службы, и после перезагрузки программа перестала фиксировать запросы на FDResPub. Но остались запросы вот такого типа (1 скрин).
Исходящих запросов так и не было, а те входящие что есть приходят после перезагрузки системы.
Ещё вижу (2 скрин), что программа блокирует ВСЕ запросы от malwarebytes. Не знаю, имеет это какое-то отношение к теме или нет.
 

Вложения

  • portmaster-app_v0-2-8_Y4xGV1YFr7.webp
    portmaster-app_v0-2-8_Y4xGV1YFr7.webp
    63.9 KB · Просмотры: 19
  • portmaster-app_v0-2-8_M1jY10Jq0K.webp
    portmaster-app_v0-2-8_M1jY10Jq0K.webp
    43.4 KB · Просмотры: 18
Не исключено, что это связано с "санкциями".
Посоветуйтесь ещё в системном разделе форума.

Я правильно понимаю, что такие уведомления вы получаете только в Malwarebytes? Если оставить только Kaspersky - нареканий нет?
 
Portmaster блокирует и Kaspersky тоже, проходит только 10% запросов. Malwarebytes я уже удалил, и, если вы говорите, что явных признаков заражения нет, то позже и Kaspersky снесу. Привык, что безопасность компа на моей совести. Мне только не понятно что это за запросы на мои сервисы приходят. Если говорить про FDResPub, то это же сервис, связанный с локальной сетью, а на него входящие запросы из интернета приходят, с чужого ip.
Вы когда логи анализировали - там вообще были следы заражения какие-то? Или я панику поднял.
Что мы вообще "лечили", просто записи реестра и временные файлы(кэш)?
Так то в целом, я думаю, больше ваше время нет смысла занимать, может мы ищем заражение, которого и не было
 
Andrea написал(а):
там вообще были следы заражения какие-то?
Нажмите для раскрытия...
Я сразу об этом сообщил :)
Sandor написал(а):
Явных признаков заражения в логах нет
Нажмите для раскрытия...

Посоветуйтесь ещё в системном разделе форума. Ссылку на текущую тему там укажите.

Здесь в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу