Blocking DiagTrack connessione in uscita dopo l'infezione da malware

Naviga le tue risposte
3

Sono stato truffato e ho pensato che quegli scammer provenissero realmente da Microsoft, quindi li ho lasciati in remoto sul mio computer. Non so cosa hanno installato su di esso.

Dopo aver capito che si trattava di una truffa, ho ripristinato il mio computer, pulito tutte le unità e reinstallato Windows 10. Ho pensato che qualsiasi virus avessi dovuto andarsene.

Ma ho digitato "netstat -ano" nel prompt dei comandi, e continuo a vedere questo: 

TCP    192.168.1.9:49793      111.221.29.254:443     ESTABLISHED     6752

Ho cercato il PID in Task Manager, è il servizio DiagTrack che è come un keylogger giusto? E l'IP a cui è collegato: 111.221.29.254 è stato segnalato 8 volte in AbuseIpDb.com.

Non so perché dopo aver resettato completamente il mio computer, questo IP è ancora collegato a me.

Ho pensato di bloccare questo IP modificando il file host.

Ho usato nslookup 111.221.29.254 ma non ho trovato il nome host per questo IP. 

Server:  NF4V.Home
Address:  192.168.1.1

*** NF4V.Home can't find 111.221.29.254: Non-existent domain

Posso comunque impedire a questo IP di connettersi al mio computer?

Posso comunque bloccare questo IP dal mio router?

    
posta kekehuang11 02.06.2017 - 11:37
fonte

2 risposte

1

Se si tratta di una installazione di Windows 10 di base, probabilmente NON si tratta di malware persistente. Molto probabilmente sono i servizi di telemetria di Windows: da Windows 8, Microsoft ha aggiunto funzioni di "casa del telefono" sempre più automatizzate nei loro sistemi operativi, alcune delle quali sono eccezionalmente difficili da disabilitare. Tutto ciò è correlato alle funzioni di "Application Experience" del sistema operativo (ragioni benigne per fare ciò - per ottenere dati sulle prestazioni del sistema operativo e delle applicazioni, per determinare come le persone usano il loro sistema operativo .. Motivo malevole per fare questo: raccolta dati, pubblicazione di annunci , ecc.

I riferimenti a questo server online puntano a Microsoft Singapore e ci sono molte persone che segnalano DiagTrack come servizio di telemetria Microsoft e fanno riferimento allo stesso indirizzo IP che vedi.

È possibile verificare che si tratti di uno strumento Microsoft utilizzando un altro strumento Microsoft chiamato Process Explorer (scaricalo da Microsoft, cerca Process Explorer e SysInternals - una grande suite di strumenti per scavare nel sistema operativo). Eseguendo Process Explorer, è possibile visualizzare tutti i processi in esecuzione sul proprio sistema, quale azienda li ha creati e se sono firmati digitalmente (eseguire Process Explorer, scegliere colonne visualizzate - aggiungere Nome azienda e Firmatario verificato, quindi selezionare Opzioni - Verifica firme immagine ). Ciò verificherà che i processi in esecuzione provengano da file ufficialmente validi degli editori. Se l'immagine è firmata digitalmente, è un buon prodotto Microsoft o i certificati di firma del codice di Microsoft sono stati compromessi e siamo tutti in un mondo di dolore;)

Puoi provare a disabilitare questa e altri sistemi di telemetria di Windows disattivando il programma Application Experience, ma alcune funzioni di telemetria continuano a essere eseguite in Windows 10. Un altro ricercatore ha proposto di "affondare" il traffico di telemetria bloccando il routing a questo IP ( link ) - ma, naturalmente, Microsoft preferirebbe che non l'hai fatto.

    
risposta data 02.06.2017 - 13:55
fonte
0

Non faccio molto lavoro su Windows ma posso condividere alcuni suggerimenti:

I reset my computer, cleaned all the drives and reinstalled Windows 10. I thought whatever virus I had should have gone away

Ti sto dicendo che è un malware; impossibile verificare correttamente (la ricerca su Google è solo il primo passo) senza un campione.

Alcuni malware possono persistere oltre la reinstallazione. Tuttavia, non ho trovato scammer di supporto che li utilizzano. Non possiamo escludere l'esistenza di questo malware prima dell'incidente.

TCP 192.168.1.9:49793 111.221.29.254:443 ESTABLISHED 6752 Is there anyway I can block this IP from connecting to my computer? Is there anyway I can block this IP from my router?

Indica che questa è una connessione in uscita (uscita). Quindi il tuo computer si sta connettendo ad esso (questo è normale per il malware), non il contrario.

Sì, dovresti riuscire a bloccarlo entrambi dal tuo computer usando Windows Firewall - > Impostazioni avanzate - > Regole in uscita - > Scheda Azioni - > Nuova regola. Gli articoli Microsoft sono un po 'meno utili, ma potresti provare questo .

Tuttavia, se il tuo computer è effettivamente infetto ma il malware persiste oltre la reinstallazione, non mi fiderei affatto del sistema operativo sul tuo computer. Quindi è meglio bloccarlo sul tuo router. Utilizza un'impostazione firewall simile (come con il firewall di Windows sopra) anche sul router, nella sezione delle connessioni in uscita.

Molti router domestici sono notoriamente insicuri e potrebbero essere un vettore nell'infettare il computer, ma questa è una linea diversa di paranoia.

A seconda di quanto ti incide, ti suggerisco di farti aiutare un professionista della sicurezza a dare un'occhiata alla tua configurazione. Alcuni professionisti IT sono bravi in sicurezza, altri no. È difficile capire la differenza, quindi è un ostacolo anche per te.

Buona fortuna.

    
risposta data 02.06.2017 - 12:50
fonte

Leggi altre domande sui tag

Implicazioni sulla sicurezza di un SCSV mancante, ma con solo TLS 1.2 consentito Può OpenSSL verificare una chiave pubblica - catena di certificati CA intermedia con un certificato CA radice?