Silensio

Подскажите пожалуйста, что можно сделать если на свежеустановленной системе отключены удаленный доступ, служба удаленного реестра, закрыты шары, стоит антивирь и контролирует все порты, но с компа все равно пропадают новые файлы, а сайты вдруг начинают жаловаться на подозрительный трафик? Еще время от времени сам отключается и включается инет.

До этого недоброжелатели через фишинг заразили вирусом, увели пароли и спалили всю инфу о системе (включая MAC-адрес и внутренний айпишник). Я переустановил и первым делом отключил все вышеперечисленное, поставил антивирь и только самый необходимый софт вроде кодеков, архиватора и торрент-клиента. На стремные сайты не захожу, в игры не играю.

Когда сижу с винта на котором Линукс все нормально, но там фаервол все входящие блочит. Может надо определенные порты в Винде закрыть? Еще склоняюсь к тому, что в момент установки и обновления ОС могли залезть и что-нибудь в реестре сделать, пока не успел все отключить и поставить антивирус. У меня подключение напрямую через кабель и статический айпишник. Такое возможно, если у меня и хакера один и тот же провайдер? Через SMBv1 к примеру? И влияет ли имя компьютера на что-то?

0

@Sandor

Здравствуйте!

Можем проверить нашими инструментами.
Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

Соберете логи, перенесем в раздел лечения.
Либо можете самостоятельно проверить уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

1

@Maks

Silensio, а как Вы настроили брандмауэр Windows?
У меня брандмауэр включен для всех профилей

Входящие подключение разрешен только для ICMP (он же пинг)

Исходящие ICMP, HTTPS (порты 80 и 443) UDP (порты 53, 67, 68, 123)

И никакая зараза из сети не лезет.

2

Silensio

Sandor, сразу в разделе лечения не стал создавать т.к. не уверен, что это не моя паранойя.
Решил подождать и понаблюдать за поведением системы. Выяснилось, что алерт по подозрительному трафику получаю из-за того, что вся моя сеть в черном списке конкретного сайта и как только автоматические запросы прекрятятся, капча тоже пропадет (так уже было).
Что касается отключения/включения инета, мне кажется это было из-за обновления Винды, т.к. именно в этот день пришли обновы. Вдруг настраивалось что-то?
А вот насчет пропажи файлов не уверен. У меня пропал постер из папки раздачи торрента и клиент выдал ошибку. Я попробовал докачать его заново, но не получилось. Просто без него торрент зеленый был, будто все файлы и так скачаны. Но на следующий день скачался нормально. Этот торрент потом несколько раз горел красным, даже когда все файлы были на месте. Подозрительным это кажется потому что я лайкнул коммент про этот постер, но сам коммент потом удалили на сайте, так что фиг знает из-за чего файл пропал. Еще не смог найти две закладки в браузере и не припомню, чтобы сам их удалял.

Логи сделал. Переносить в другой раздел или нет решать вам. Только ответьте пожалуйста на мои вопросы из первого комментария. Я хотел получить консультацию по этим моментам, чтобы знать как в случае чего правильно переустановить без риска быть хакнутым в процессе.

Maks, никак не настраивал. Просто сразу как установились обновления скачал Каспера и теперь за сеть отвечает он. Защитника, если что, отключил уже после его установки.

0

@Maks

Что за версия каспера?
Ну тогда не удивляйтесь, что к Вам липнет всякая зараза из сети.

0

Silensio

Internet Security 2020
Всякая не липнет. Меня целенаправленно через фишинг взломали те, кому я доверял и хочу убедиться, что этого не случилось снова. Я у вас как бы спрашиваю, насколько это вероятно и предоставляю информацию, чтобы вы могли судить.

Вот как я делал:
1) Переустановил систему.
2) Как только она загрузилась, сразу отключил вышеупомянутое.
3) Подождал пока поставится большая часть обновлений, после чего поставил Каспера и сделал настройки на максимум.

Обновления ставятся долго, Винда постоянно что-то настраивает и перезагружается. Я не знаю какие порты ей для этого нужны и насколько обновленной она должна быть, чтобы новая версия Каспера нормально работала.

0

@Maks

Silensio, Вы хотите узнать, как э о произошло, или все таки эффективно защитить свою систему?
Если первое, то запустите на момент подозрительной активности программу TCPView, если второе, то настройте брандмауэр так, как описано мною выше.
Плюс зайдите в редактор локальной политики (Win+r=>secpol.msc=>ok), Параметры безопасности/Локальные политики/Назначение прав пользователей, в пункте "Доступ к компьютеру из сети" удалите всех, а в пункте "Отказать в доступе к этому компьютеру из сети" выберите "Все".
После этого, на Вашем ПК не будет подозрительной сетевой активности даже без Касперского.

1

Silensio

Я прочитал встроенную справку, но пока не совсем понял, как юзать прогу. Как определить, что процесс зловредный, если он будет маскироваться под svhost.exe или другой системный?
Если я снова буду переустанавливать и оставлю только эти порты, все обновления нормально поставятся? И если захочу поставить какую-то прогу или игру, нужно будет узнать, какой порт она использует и открыть его для входящих и исходящих?
В моей версии Винды нет такой оснастки.

Что можете сказать про настройки фаервола, которые предлагает Каспер?

0

@Maks

Там прекрасно видно какое ПО потребляет трафик.
Для обновлений откройте порты 8530 и 8531.
Для игр нужно будет открывать порты персонально.
А что у Вас за версия? Home/Basic?
К сожалению, ничего, я таковой не использую, ибо на сегодняшний день прекрасно справляется брандмауэр.

1

Silensio

Я имею в виду, что там много процессов [System Process], svhost.exe, System и не у всех показываются свойства и Whois. Если вирус будет маскироваться под такой, я могу просто не приметить его на фоне остальных, ну потребляет трафик и потребляет. Перед переустановкой Каспер как раз показывал, что вирус находится в системной памяти, не открывал к нему путь и не мог удалить. Такое возможно или зловред обязателно как уникальное ПО будет отображаться?

И почему некоторые процессы не резолвятся и показываются как [0:0:0:0:0:0:0:1], какие-то резолвятся как [Имя ПК], а какие-то как [Имя ПК].[Сайт провайдера]. Как бы понятно, что последние это локалхост и мой внутренний IP, но в чем разница между ними? Для чего предназначены одни и для чего другие?
А как быть во время установки Винды, когда рабочий стол еще не загрузился? В это время не могут извне подключиться, пока я еще ничего не настроил? Допустим, я понял, что меня взломали и вытащил кабель, но хакер с помощью проги мониторит в сети я или нет, и как только стану переустанавливать и воткну его снова, чтобы система в процессе смогла установить обновления, уже начнет что-то с ней сделать? Лучше без воткнутого кабеля переустанавливать и качать все обновления только после загрузки рабочего стола и настройки брандмауэра?

Этот момент меня больше всего волнует и в этой связи есть несколько вопросов:
1) Влияет ли на что-то в плане безопасности имя пользователья и компьютера? Их лучше уникальными делать или оставлять варианты, предлагаемые Виндой (Андрей, Андрей-ПК)?
2) Имеет ли смысл отключать через реестр SMBv1?
2) Имеет ли смысл менять IP, если у хакера такой же провайдер и он знает мой MAC-адрес? Он сможет по нему узнать новый IP?

И может ли провайдер в принципе поменять оба айпишника, и внутренний и внешний? Или только внешний? Я вот думал, может лучше вообще сначала купить новую сетевуху с другим MAC-ом и не пользоваться какое-то время проводным инетом, пока IP не получу новый IP?
Посмотрите в логе выше, пожалуйста и заодно скажите, все ли в нем нормально? Почему говорится, что служба Обнаружение SSDP (SSDPSRV) работает, хотя я ее не трогал и как другие службы упомянутые в нем, например Служба удаленного управления Windows (WS-Management), она стоит у меня "Вручную". Службы, упомянутые мной в первом посте, которые я отключил сам, тоже показываются как остановленные, но почему-то не эта.

Также интересно Ваше мнение по поводу статьи на сайте Dr. Web, в которой рекомендуют отключить следующие службы:

Все те, что у меня еще не отключены тоже надо именно отключить или достаточно, если стоит "Вручную"?

Как, кстати, подчистить следы в системе после SecurityCheck? Папки в корне диска С и в AppData/Local/Temp я удалил, а что насчет записи в реестре? Находится одно упоминание: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\ActivationSecurityCheckExemp tionList
В папке Ole три папки: AppCompact, Eventlog и NONREDIST. Они все там изначально были или AppCompact создана этой прогой?

0

@Maks

Не совсем понимаю о чем речь?
Переустановили ОС, закрутили брандмауэр, установили обновы.
В чем проблема? Паранойя?

1

Silensio

Maks, есть такое.
Я же говорю:
Ведь настройка брандмауэра и отключение опасных служб занимает некоторое время. Я боюсь, что в это окно, когда система устанавливается с диска и затем после загрузки рабочего стола сам настраиваю в нее уже влезут.

Если не сложно, пройдитесь по всем моим вопросам выше, чтобы я не параноил.

0

@Maks

В этом случае для входящих подключений в брандмауэре оставляете пустыми, т.е. в предложенном мною способе, не добавляете протокол ICMP (который отвечает за пинг).
На время обновлений открываете указанные выше порты, хотя, скорее всего, этого даже не придется делать, нужно проверить.
Ну так настройте брандмауэр ДО подключения кабеля и вообще, не подключайте кабель на время установки ОС и до настройки брандмауэра, в чем проблема то?
Я уже ответил на Ваши вопросы выше, остальное удел медицинских специалистов.

1

Silensio

Хотел убедиться, что без подключенного инета ОС нормально устанавливается и потом не будет глюков с обновлениями или еще чем-нибудь.
Ну не знаю...
Тут была тема, автор которой уверял, что хакеры прямо у него под окном тусуются и ему разные эксперты страниц 5 наотвечали, а я вроде вполне разумные вопросы задаю. На большинство из них знающий человек может дать короткие и однозначные ответы в виде "да" или "нет".

Вот например:

0

@Maks

Хакер - это специалист высшего уровня подготовки, он не будет просто так тусоваться под окнами юзера, с параноидальными признаками.
Такие специалисты трудятся за немалые вознаграждения, пару-тройку которых позволит купить им квартиру, или авто бизнес-класса.
Кто-то будет тратить ради Вас хотя бы 10 т.р., чтобы нанять начинающего хакера?
Вы светите свой ip всякий раз, когда выходите в интернет.
Как вариант, можно воспользоваться анонимайзерами.
Далее, по Вашему вопросу, допустим, Вы засветили свой ip хакеру, дальше что?
Вы настроили брандмауэр указанным мною способом?

0

Silensio

Так начинающий хакер сам меня и хакнул. Сейчас нужный инструментарий скачать или купить не проблема, полно статей и мануалов, а фейки и VPN уже привычное дело. Тем более если сидишь в соцсетях, в игрушки играешь, в Стим скрины кидаешь - так можно немало инфы собрать и при желании хакнуть. Я догадываюсь, кто это мог быть и если прав, то у него такой же провайдер, что только облегчает задачу.
Провайдеру и сайтам на которые захожу я не против светитить, а вот то что хакер до сих пор знает, меня напрягает.
Хотел сначала получше узнать о всех рисках и затем еще раз переустановить, чтобы наверняка. Про брандмауэр и порты выяснил, теперь могу сделать это без боязни, что на этапе установки и обновления ко мне влезут.

Почему переживаю, что IP и MAC-адрес мои известны? Хотя бы потому что по ним можно палить в сети я или нет. Их еще можно спуффить и фейкать меня таким образом. DoSить, чтобы думали на меня. Нарушить правила где-нибудь, где я бываю и мне там бан прилетит, или та же капча за автоматические запросы. Можно даже компьютер так же назвать и софт одинаковый поставить для большего совпадения. Поправьте меня, если ничего из этого невозможно в теории. Тем более я точно не знаю сколько инфы утекло. Может только кейлоггер был, может, скриншоты посылались, а может вообще удаленная админка.

0

@Maks

Это ничего не даст.
К тому, что я указал выше (барндмауэр и SRP) настоятельно рекомендую не работать под учеткой с правами администратора, так злоумышленник не сможет Вашими же руками установить на Ваш комп необходимый ему софт.
Ну какие риски? Выполните мои рекомендации, не устанавливайте сомнительный и крякнутый софт, установте все актуальные обновления безопасности.
В придачу, закройте на роутере неиспользуемые порты, обновите прошивку.
Запретите пинговать Ваш ip на роутере (некоторые модели это поддерживают).
По рискам я уже сказал, допустим, хакер узнал мои индентификаторы и что с того?
Ну сделает он такой же ПК (имя+мак), а как он выйдет с моего же ip?
Как он попадет на мой ПК, если из вне он закручен брандмауэром?
Как он узнает список моего софта, если из вне ПК закручен брандмауэром?
Закручен, значит, закрыт в доступе из вне.
Вы чего конкретно опасаетесь?

1

Silensio

Если под админом скачать зараженный файл, но самому его не запускать, контроль учетных записей сработает при попытке вирусом выполнить код? И если без антивируса, а просто с закрученным брандмауэром посетить сайт со зловредами, через вышеупомянутые порты может заражение произойти?
У меня нет роутера, кабель сразу в комп втыкается. Это хуже или лучше?
Можно перепрошить модем и поменять МАС на мой, а IP просто конечный как у меня сделать.
Он уже его знает. Систему я переустановил, но большинство программ ведь прежние.
DoS и другие неправомерные действия на сайтах под моими идентификаторами. Больше всего опасаюсь финансовых махинаций вроде регистрации кошельков на мое имя, кредитов. Я делал скан паспорта для верификации кошелька и его тоже могли украсть. Т.е. помимо того, что устройство будет выглядеть как мое еще и данные тоже мои.

0

@Maks

В Вашем случае это проще: настройте брандмауэр и перестаньте параноить.
Расскажите мне, КАК хакер присвоит себе ip-адрес, выдаваемого провайдером? Вы фантастики насмотрелись?
И что?
Поделитесь информацией, с чего Вы это взяли? Вам администрация сайта об этом сказали?
Могли, или украли?
Ваши опасения основываются на "если бы, да кабы"...
Есть конкретные факты использования Ваших персональных данных, или сетевых идентификаторов Вашего ПК?

0

Silensio

Мне нужно решить, закручивать виндосовский брандмауэр только на время обновлений, а потом ставить Каспера, который помимо защиты от вирусов возьмет на себя функции брандмауэра или не ставить его. Поэтому хочу понять:

Если под админом скачать зараженный файл, но самому его не запускать, контроль учетных записей сработает при попытке вирусом выполнить код? И если без антивируса, а просто с закрученным брандмауэром посетить сайт со зловредами, через вышеупомянутые порты может заражение произойти?
Я не говорю, что именно через мою (нашу) сеть выйдет, а просто поменяет MAC на мой и сделает как написано в Википедии:

Нет, но разве стал бы хакер докладывать мне, что зарегил на мое имя кошелек или взял кредит? Я надеюсь на лучшее, но готовлюсь к худшему и пытаюсь понять, насколько возможно то или иное развитие событий.

Совершенно точно я знаю, что у меня увели пароли от сайтов, узнали названия файлов, текстовые фрагменты (с чем я чаще всего работал) и нарочно упоминали их в переписке. Не зная какой вид вредоносного ПО для этого использовался, я могу только предполагать, что утекло гораздо больше.

0