web-dev-qa-db-ja.com

マルウェア感染後のDiagTrack送信接続のブロック

私は詐欺にかけられ、それらの詐欺師は本当にMicrosoftからのものだと思ったので、コンピューターにリモートで接続させました。何がインストールされているのかわかりません。

それが詐欺であることに気づいた後、コンピューターをリセットし、すべてのドライブをクリーニングして、Windows 10を再インストールしました。

しかし、コマンドプロンプトで「netstat -ano」と入力しましたが、これはまだ表示されます。

TCP    192.168.1.9:49793      111.221.29.254:443     ESTABLISHED     6752

タスクマネージャーでPIDを検索しました。これは、キーロガーのようなDiagTrackサービスです。そして、それに接続されているIP:111.221.29.254は、AbuseIpDb.comで8回報告されています。

コンピューターを完全にリセットした後、このIPがまだ接続されている理由がわかりません。

Hostファイルを変更して、このIPをブロックすることを考えました。

nslookup 111.221.29.254が、このIPのホスト名を見つけることができませんでした。

Server:  NF4V.Home
Address:  192.168.1.1

*** NF4V.Home can't find 111.221.29.254: Non-existent domain

とにかく、このIPがコンピューターに接続するのをブロックできますか?

とにかく、ルーターからこのIPをブロックできますか?

malwarefirewallsipwindows-10
2
kekehuang11

これが基本的なWindows 10の新規インストールである場合、これはおそらく永続的なマルウェアではありません。これは最も可能性の高いWindowsテレメトリサービスです。Windows8以降、MicrosoftはOSにますます自動化された「フォーンホーム」機能を追加しており、その一部は無効にするのが非常に困難です。これはすべて、OSの「アプリケーションエクスペリエンス」機能に関連しています(これを行うのに害のない理由-OSとアプリケーションに関するパフォーマンスデータを取得し、人々がOSをどのように使用するかを決定するため。悪意のある理由-データ収集、広告配信、など)

このサーバーオンラインへの参照はMicrosoftシンガポールを指し、多くの人々がDiagTrackをMicrosoftテレメトリサービスとして報告し、表示されているのと同じIPアドレスを参照しています。

これがMicrosoftツールであることを確認するには、Process Explorerと呼ばれる別のMicrosoftツールを使用します(Microsoftからダウンロードして、Process ExplorerとSysInternals-OSを掘り下げるための優れたツールスイートを検索してください)。プロセスエクスプローラーを実行すると、システムで実行中のすべてのプロセス、それらを作成した会社、およびデジタル署名されているかどうかを表示できます(プロセスエクスプローラーを実行し、表示された列を選択-会社名と検証済み署名者を追加し、オプション-イメージ署名の検証を選択します) )。これにより、実行中のプロセスが発行元からの正式に有効なファイルからのものであることを確認します。画像がデジタル署名されている場合、それは優れたMicrosoft製品であるか、Microsoftのコード署名証明書が侵害されており、私たち全員が傷ついた世界にいます;)

アプリケーションエクスペリエンスプログラムからオプトアウトすることで、これと他のWindowsテレメトリを無効にしてみることができますが、一部のテレメトリ機能はWindows 10で引き続き実行されます。別の研究者は、このIPへのルーティングをブロックすることによりテレメトリトラフィックを「シンクホール」することを提案しました(- http://sphughes.com/2015/09/04/block-Microsoft-telemetry-using-null-routes/ )-しかし、もちろん、Microsoftはそれを行わないことを望んでいます。

1
claidheamh

私はWindowsではあまり作業をしていませんが、いくつかの指針を共有できます。

コンピューターをリセットし、すべてのドライブをクリーニングして、Windows 10を再インストールしました。

それはマルウェアであるとあなたの言葉を信じています。サンプルなしでは適切に検証できません(Googleでの検索は最初のステップにすぎません)。

一部のマルウェアは、再インストール後も存続する可能性があります。私はそれらを使用しているサポート詐欺師に出くわしていません。詐欺事件が発生する前に、このマルウェアの存在を排除することはできません。

TCP 192.168.1.9:49793 111.221.29.254:443 ESTABLISHED 6752とにかく、このIPがコンピュータに接続するのをブロックできますか?とにかく、ルーターからこのIPをブロックできますか?

これは、これがアウトバウンド(出力)接続であることを示しています。つまり、コンピュータはそれに接続しています(これはマルウェアでは正常です)-逆ではありません。

はい。Windowsファイアウォール->詳細設定->アウトバウンドルール->アクションタブ->新しいルールを使用して、コンピュータからブロックすることができます。 Microsoftの記事は少し役に立ちますが、 これを試すことができます

ただし、コンピューターが実際に感染しているが、再インストール後もマルウェアが存続している場合、私はコンピューターのOSをまったく信頼しません。そのため、ルーターでブロックすることをお勧めします。ルーターでも同様のファイアウォール設定(上記のWindowsファイアウォールと同様)を使用します(送信接続セクション)。

多くのホームルーターは安全ではないことで有名であり、コンピューターへの感染の媒介となる可能性がありますが、それはパラノイアの別の行です。

それがあなたにどの程度影響を与えるかに応じて、私はあなたがあなたのセットアップを見てもらうためにセキュリティ専門家を得るように勧めます。セキュリティが得意なITプロフェッショナルもいれば、そうでないITプロフェッショナルもいます。違いを見分けるのは難しいので、それもあなたにとってハードルです。

幸運を。

0
Sas3