Firewall - атаки

[flashdor]

Здравейте, от известно време outpost firewall показва постоянни атаки към компютъра ми. Компютъра забива често и понякога не може да се изключи. Имам и втори компютър, който до скоро не ползвах. Преди няколко дни му преинсталирах уиндоуса, но и там се появи същия проблем. Какво мога да направя, за да спрат атаките. Прилагам снимки.

[ExaFlop]

С какъв рутъър сте? Повечето по-нови рутъри имат такава възможност - да блокират атаки

[flashdor]

Здравейте, с рутер на виваком ZTE ZXHN H118N.

[Night_Raven]

Освен атакувания и новоинсталирания компютри, има ли други системи в мрежата ти?

 

Имаш ли достъп до настройките на рутера?

Рутерът излъчва ли Wi-Fi мрежа? Ако да, тя има ли парола?

 

За всеки случай, сканирано ли е за зловреден код?

[flashdor]

Само двата компютъра са. Нямам достъп до всички настройки на рутера, виваком са го ограничили.

Излъчва Wi-Fi и е с парола, ползва се за смартфоните. Сканирано е с Аvast, Malwarebytes Anti-Maware, SUPERAntiSpyware, adwcleaner, като само SUPERAntiSpyware трие накакви бисквитки , другите не откриват нищо.

 

[Night_Raven]

По принцип е нормално да ти бъде сканиран външният IP адрес за отворени портове и уязвимости. Има всякакви ботове, които вършат това автоматично. Интересно е, че при теб атаки са засечени от вътрешен IP адрес.

 

Текущият ти компютър с какъв вътрешен IP адрес е?

Ако изключиш втория компютър за известно време, атаките към основния продължават ли?

В настройките за модула за засичане на атаки какви са настройките? Няма ли настройки за блокиране на IP адресите?

Също така, като казваш, че компютърът забива често, какво точно имаш предвид? Опиши по-подробно.

[flashdor]

IP адерса сега е 192.168.1.3. Атаките се появиха доста преди да започна да използвам втория компютър.Това са настройките на защитната стена:
 
http://media.snimka.bg/s1/6237/038718006.jpg

http://media.snimka.bg/s1/6237/038718007.jpg?r=0
 
Между другото като сканирах с Avast за мрежови проблеми излезе това съобщение:

http://media.snimka.bg/s1/6237/038718004.jpg


И сега като се замисля компютъра започва да забива, когато ползвам Аваста. Или самата програма блокира когато се опитвам да я отворя или след сканиране компютъра не иска да отваря никакви програми и файлове.Понякога не може и да се изключи.

[ExaFlop]

Като гледам отворения порт, обозначен като опасен, най-вероятно се ползва от uTorrent. Коя версия на програмата ползвате? Желателно е да е 3.4.5.ХХХХ
Също Avast съветва да се обнови фърмуерът на рутъра.
От къде достъпвате настройите на рутъра?
https://my.contact.bg

[flashdor]

uTorrent го деинсталирах преди доста време. Сега съм с BitComet 1.47.

Да от там имам достъп, но не до всички настройки.

[Night_Raven]

Не спомена какво точно имаш предвид под забавяне на компютъра. Постоянно ли е или трае само по време на въпросните атаки? Ако е второто и ако изключиш мрежовия кабел, нещата нормализират ли се?

[flashdor]

Атаките са почти постоянни, докато забавянето се получава по-рядко. Ако се опитам да стартирам някоя програма или става много бавно или не тръгва изобщо, не мога и да прекъсна процеса ѝ в Task Manager. Компютъра също или не може да се изключи или се изключва много бавно.

[Night_Raven]

Мисълта ми беше да разкачиш кабела на доставчика, когато се получи забавянето. Не би трябвало да е свързано с атаките, но все пак.

 

Всъщност, ако разкачиш въпросния кабел, атаките спират ли?

 

Ако имаш проблем с Avast, замислял ли си се да тестваш някоя друга антивирусна?

 

Ако не ти е проблем, за всеки случай, изготви едно архивче с дневници с Глиф.

[flashdor]

Да, като разкача кабела атаките спират. Забавянето не се появявало скоро, но като се появи пак ще пробвам. Колкото до антивирусната досега винаги съм ползвал Avast и честно казано нямам представа коя друга да пробвам. Мисля, че Vivacom предлагаха Eset nod32 с безплатен лиценз, но не знам дали е достатъчно добра.

Ето и архива:

Logs_Toci_22.08_20.55.zip

[Night_Raven]

Инсталирани ли са всички актуализации за Windows? Извършвани ли са някакви човъркания и оптимизации на операционната система?

 

Твърдият диск проверяван ли за грешки? Говоря на ниво файлова система с Chkdsk и на ниво хардуер с програма на производителя?

 

И между другото, при изплънение на Глиф да си се натъкнал на грешка? Питам, защото липсва дневник от HWiNFO.

[flashdor]

Извинявам се, че пиша чак сега, но бях зает. Автоматичните ъпдейти са спрени.Проверих и имаше няколко нови. Всички се инсталираха с изключение на един- KB4343900. Даде някаква грешка. По операционната система не са правени оптимизации.

Сканирах диска със HD Tune Pro и откри един лош сектор. Ще пусна и проверка с Chkdsk когато остане време.

При сканирането с Глиф не са се появявали грешки, няма представа защо няма дневник от HWiNFO. Между другото същото забавяне се появи и на другия компютър. Изключих мрежовия кабел, но нямаше промяна. Реших да сканирам с hijackthis и двата компютъра. Откри някой неща, но не знам кое трабва да се махне и затова прилагам логовете.

 

Logfile of HijackThis v1.99.1
Scan saved at 22:35:17 ч., on 31.8.2018 г.
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v10.0 (10.00.9200.16537)

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files\SUPERAntiSpyware\SUPERANTISPYWARE.EXE
C:\Program Files\Sandboxie\SbieCtrl.exe
C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\SearchProtocolHost.exe
C:\Desktop\Нова папка (88)\h.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL
O2 - BHO: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~2\Office14\URLREDIR.DLL
O4 - HKLM\..\Run: [OutpostMonitor] "C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe" /tray /noservice
O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Program Files\Agnitum\Outpost Firewall Pro\feedback.exe" /dump:os_startup
O4 - HKLM\..\Run: [AvastUI.exe] "C:\Program Files\Alwil Software\Avast5\AvLaunch.exe" /gui
O4 - HKLM\..\Run: [bCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKLM\..\Run: [AMD AVT] Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files\AMD AVT\bin\kdbsync.exe" aml
O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [sandboxieControl] "C:\Program Files\Sandboxie\SbieCtrl.exe"
O4 - HKCU\..\Run: [World of Tanks (1)] "C:\Games\World_of_Tanks\WargamingGameUpdater.exe"
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: Se&nd to OneNote - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105
O9 - Extra button: Изпрати към OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Изпрати към OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: &Свързани бележки на OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: &Свързани бележки на OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O11 - Options group: [iNTERNATIONAL] International
O13 - Gopher Prefix:
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\wl_hook.dll
O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Program Files\SUPERAntiSpyware\SASCORE.EXE
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: aswbIDSAgent - AVAST Software - C:\Program Files\Alwil Software\Avast5\aswidsagent.exe
O23 - Service: Avast Antivirus (avast! Antivirus) - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: AvastVBox COM Service (AvastVBoxSvc) - Avast Software - C:\Program Files\Alwil Software\Avast5\ng\vbox\AvastVBoxSVC.exe
O23 - Service: BitComet Disk Boost Service (BITCOMET_HELPER_SERVICE) - www.BitComet.com - C:\Program Files\BitComet\tools\BitCometService.exe
O23 - Service: Disc Soft Lite Bus Service - Disc Soft Ltd - C:\Program Files\DAEMON Tools Lite\DiscSoftBusService.exe
O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
O23 - Service: Услуга на Google Актуализация (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe" /svc (file missing)
O23 - Service: Услуга на Google Актуализация (gupdatem) (gupdatem) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc (file missing)
O23 - Service: Malwarebytes Service (MBAMService) - Malwarebytes - C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe
O23 - Service: Microsoft SharePoint Workspace Audit Service - Unknown owner - C:\Program Files\Microsoft Office\Office14\GROOVE.EXE" /auditservice (file missing)
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Sandboxie Service (SbieSvc) - Sandboxie Holdings, LLC - C:\Program Files\Sandboxie\SbieSvc.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe

 

 

Logfile of HijackThis v1.99.1
Scan saved at 00:05:09 ч., on 3.9.2018 г.
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v10.0 (10.00.9200.16537)

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\CheckPoint\ZoneAlarm\zatray.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\VoodooShield\VoodooShield.exe
C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
D:\Нова папка (2)\Нова папка\h.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvLaunch.exe" /gui
O4 - HKLM\..\Run: [ZoneAlarm] "C:\Program Files\CheckPoint\ZoneAlarm\zatray.exe"
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O11 - Options group: [iNTERNATIONAL] International
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F6DB72C-8F63-466F-89CC-936164474ECA}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{9F6DB72C-8F63-466F-89CC-936164474ECA}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{9F6DB72C-8F63-466F-89CC-936164474ECA}: NameServer = 192.168.1.1
O23 - Service: aswbIDSAgent - AVAST Software - C:\Program Files\AVAST Software\Avast\aswidsagent.exe
O23 - Service: Avast Antivirus (avast! Antivirus) - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Услуга на Google Актуализация (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe" /svc (file missing)
O23 - Service: Услуга на Google Актуализация (gupdatem) (gupdatem) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc (file missing)
O23 - Service: Malwarebytes Service (MBAMService) - Malwarebytes - C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: VoodooShieldService - VoodooSoft, LLC  - C:\Program Files\VoodooShield\VoodooShieldService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\Program Files\CheckPoint\ZoneAlarm\vsmon.exe" -service (file missing)
O23 - Service: WPS Office Cloud Service (wpscloudsvr) - Unknown owner - C:\Users\home\AppData\Local\Kingsoft\WPS Office\wpscloudsvr.exe" LocalService (file missing)
O23 - Service: ZoneAlarm Privacy Service (ZAPrivacyService) - Check Point Software Technologies, Ltd. - C:\Program Files\CheckPoint\ZoneAlarm\ZaPrivacyService.exe