マルウェアには私のPCへのリモートアクセスがありますか?
こののいくつかで知識の欠如のために私を許してくださいが、私は今日でこれを扱ってきた私は私がちょうど妄想であるかどうか、または私のPCをハイジャックされたもの(または誰か)があったかどうかを決めることができなかった.私はあなた全員を決めることができます
しかし、私にとってこれはすべて奇妙なようです.
私のネットが奇妙に行動していた数日以内に私がこれにつまずく方法を正確に覚えていません.IMはいくつかのイベントIDコードを一覧表示しますが、私にとって最も面倒なものは次のとおりです.
イベントID 7034:Windows検索サービスは予期せずに終了しました.これはこの349時間(S)をしました.
7023:Windows検索サービスは次のエラーで終了しました:
システムが指定されたドライバを見つけることができません.
8033:ブラウザは、マスターブラウザが停止されたため、ネットワーク\Device\NetBT_TCPIP_{A4658475-46J6-469E-BA87-CA74AAC1DF8B}の選択を強制しました.
10016:Machine-Default Permission設定は、COMサーバーApplicationのローカルアクティベーション権限をCLSID
で許可しません.{C2F03A33-21F5-47FA-B4BB-156362A2F239}
とappid
{316CDED5-E4AE-4B15-9113-7055D84DCC97}
Applicationコンテナで実行されているアドレスLOCALHOST(LRPCを使用)のユーザーNT orcirsive\Local Service SID(S-1-5-19)へのNT権限(S-1-5-19).このセキュリティ権限は、コンポーネントサービス管理ツールを使用して変更できます.4:ログ名: システム
ソース: 仮想ディスクサービス
日付: 12/23/2018 1:43:59 PM
イベントID: 4
タスクカテゴリ:なし
レベル: 情報
キーワード: クラシック
ユーザー: n/a
コンピュータ: ラップトップ-JME2E5FG
説明:
サービスが停止しました.
イベントXML:
<Event xmlns="schemas.microsoft.com/Win/2004/08/events/event">
<System>
<Provider Name="Virtual Disk Service"/>
<EventID Qualifiers="16896">4</EventID>
<Level>4</Level>
<Task>0</Task>
<KeyWords>0x80000000000000</KeyWords>
<TimeCreated SystemTime="2018-12-23T18:43:59.172723000Z"/>
<EventRecordID>3882</EventRecordID>
<Channel>System</Channel>
<computer>LAPTOP-JME2E5FG</computer>
<Security/>
</System>
<EventData>
<Data>@2010001</Data>
</EventData>
</Event>4799:セキュリティ対応のローカルグループメンバーシップが列挙されました.
4672:新しいログオンに割り当てられた特別な特権.これら2はただ繰り返しを続ける)
1500:レジストリキーSystem\CurrentControlSet\Services\SNMP\Parameters\TrapConfigurationにアクセスしている間にSNMPサービスがエラー終了しました.
100:ローカルホスト名LAPTOP-JME2E5FG.LOCALは既に使用中です.代わりにラップトップ-JME2E5FG-2を試してみてください(このエラーはBonjourによって引き起こされました)
この問題をリストしているように、私がHP修理店から私のラップトップを取り戻した直後に発生し始めたばかりの私に襲った.
windows 10にHPノートブックを実行しています.
PCは、このPCの唯一無線ユーザー(および管理者)アカウントの上にあるこれらのアカウントを常に新しいアカウントを生成し、これらのアカウントを上回っています.私はますます多くのものへのアクセスを拒否されました.それが私のwindowsの上にアプリを実行していたことがわかった
PCレッドフラグを投げ、実行中のアプリはDNSResponderでした.しかし問題はより奇妙なのみ得られています.私のネットは私を蹴り出し続けていたので、私は私の母親のASUS Laptop(Win8)にログオンして、問題がHERSに持続したかどうかを確認しました.それはしました.
クイックチェックの後、私がどのWiFiネットワークがあったかを確認しても私のWiFiアドレス+ 2を教えていました.私のお母さんのラップトップを私のお母さんのラップトップを私のコンピュータ経由でインターネットに接続して、ネット接続を共有するためのすべてのオプションがオフになっていました.ネットワークで
共有センターこのPCがプライベートネットワークに接続されていることを示していますが、他のすべての兆候は、どういうわけか職場ネットワークの一部になったことを示していました.イベントビューアを開くと、 "Server"という名前のカスタムログが表示されます.そのため、CMDを使用して少し掘り下げた後(AND
後のPowerShell)はい、私は実際にサーバーか何かとして機能していて、隠されている私のHDDにパーティションがあります.
また、この2つのPCは、このネットワーク上の唯一のデバイスであり、IOSを実行している唯一の2つが感染していた唯一のデバイスです.
それから私は "Regflush"というタイトルの隠しフォルダ内の.txtファイルを見つけました:rthatは次のものを含んでいました:
RegFlush>開始...
RegFlush>フラッシュしようとしている->HKEY_CLASSES_ROOT
RegFlush>Flus Flused
RegFlush>フラッシュしようとして->HKEY_CURRENT_USER
RegFlush>Flus Flused
RegFlush>フラッシュしようとしている->HKEY_LOCAL_MACHINE
RegFlush>Flus Flused
RegFlush>フラッシュしようとしている->HKEY_USERS
RegFlush>Flushed
RegFlush>Done ...
これらの複数の隠しファイルの中にたくさんの奇妙なものがあまり掘り下げられた後.1つのTXT Windows_NTとしてMy OSをリストします.Mobileとしてのマイプラットフォーム、My RAM、My RAM(その唯一の4)、Windows認証情報がゼロになります.その後、ポリシー定義スクリプトが見つかりました...C:\Windows\PolicyDefinitions
異なるポリシーを強制する.admlファイルがいっぱいのフォルダです.特に1つは私をドメインに強制していた脚本でした.その後、スクリプトは職場内の他のすべてのデバイスに接続するように言った(当然).
順番に、Mac.her.heresのような他のすべてのデバイスに感染してください.
<!-(C)2013 Microsoft Corporation->
<ターゲット接頭辞= "WJ"名前空間= "Microsoft.Policies.Workplacejoin"/>
<リソースMinRequiredRevision= "1.0"/>
<カテゴリ>
<カテゴリ名= "Workplacejoin" DisplayName= "$(string.wj_workplacejoincegatory)">
<ポリシー>
<親業者REF= "WORKPCERTJOIN"/>
<有効値>
<10進値= "1"/>
<無効値>
<10進値= "0"/>
リストが続きます.hideUnctabのようなもので検索されたもの.
プッシュトール無効
PowerShell:イネーブルモジュールロジング対応
リモート実行ポリシー対応
EnableScriptBlockLogging
EnableScriptBlockInvocationLogging
enableUpdateHelpDefaultSourcePath-SourcePathForUpdateHelp "valuename="defaultSourcePath "必須="true(そのループ?)
Windows Defender:
VIRUSTHREATPROTECTIONE_UILOCKDOWN
VIRUSTHREATPROTECTIONE_HIDERANSOMWARERECOVERY
FirewallNetworkProtection_UILOCKDOWN
AppBrowserProtection_Uilockdown
AppBrowserProtection_DisallowExploItProtectionOverride
DeviceSecurity_hidetPmTrouchooting
ポイントが作られていると私は信じているのでそこにやめます.私のOSのファセットのためにこれらのようなポリシー定義スクリプトがあります.
ヘルプ
返信リスト(回答:6)
これらのプログラムを実行してみてください:
MBAM無料: MWBのダウンロード
ESETオンラインスキャナー: https://www.eset.com/us/online-scanner/
adwcleaner: adwcleaner.
これらがウイルス/マルウェアを完全に削除しない場合、専用のマルウェアの削除指示を受け取るためにマルウェアの取り外しサイトに登録することが賢明になります.100%クリーンです.
MalwareBytesウイルス/マルウェアの削除フォーラム:
7 Windowsマルウェアの削除ヘルプサポート
Bleeping Computerマルウェア/ウイルス除去フォーラム:
https://www.blyepingcomputer.com/forums/forum22...
あなたがそれらを使うことを決める前にページ上で.あなたの裁量は非常に助言されています.
応答1# ->にスキップ2 #coltongありがとうございます.私はIMが何をしなければならないのかと思います.私はPowerShellを使用して、マルウェアをそのルートサービスとその使用済みのポートにトレースするために使用しましたが、このマルウェアは私の標準によって非常に洗練されています.それは私のOSの前でそれ自体を起動しています(imではない
IT TECHこれは、基本的にOSが見ているシステムファイルのディレクトリで作成されたものです.IVEはregeditに行って、グローバルな特権依頼を持つ無数のファイルの削除を開始しました.私はIPへのリモートサービスを追跡することができました
住所とリモートクライアントに関するすべてを集めました.私はRMを使用してCredentialsの画面をサーバーにログオンするために管理することさえ、ユーザー/パスはデフォルトではありません.私はここにすべてを投稿します多分誰かが情報を使って何かをすることができます.PS C:\>get-wsmaninstance-ResourceURI WinRM/Config/Listener-SelectorSet
{address= "*"; transport= "http"}-ComputerName "Server01"
cfg. schemas.microsoft.com/wbem/wsman/1/config/listener
XSI : リンク:XMLSchemaインスタンス
lang :en-us
住所 :*
輸送 :http
ポート :80
ホスト名 :
有効 :true
URLPREFIX :WSMAN
certificateThumbprint:
Listeningon :{100.0.0.1,123.123.123.123.123.123 :: 1,2001:4898:0:FFF:0:5efe:123.123.123.124...}}
このコマンドは、リモートServer01コンピュータの
のWS-Managementリスナー設定を一覧表示します.セレクタセット内の基準と一致するリスナー.
例7:指定されたインスタンスに関連した関連インスタンスを取得する
PS C:\>get-wsmaninstance-eNumerate-Dialectアソシエーション--filter "{object= win32_service?name= winrm}"
-ResourceURI wmicimv2/*
XSI : リンク:XMLSchemaインスタンス
P. :
schemas.microsoft.com/wbem/wsman/1/wmi/root/cimv2/win32_computerSystem
CIM. : リンク:一般的な
タイプ :P:win32_computersystem_type
lang :en-us
adminpasswordstatus. :1
AutomaticAnagePageFile:true
AutomaticalResetBootOption:true
AutomaticeTcapability:true
BOOTOptionOnLimit. :BOOTOptionOnLimit
BOOTOptionOnWatchDog. :BOOTOptionOnWatchDog
bootromsupported :true
ブートアップステート :通常の起動
キャプション :server01
ChassiSbootUptate. :3
creationClassName. :Win32_ComputerSystem
CurrentTimeZone. :-480
昼間の結果 :false
説明 :at/patible
dnshostname. :server01
ドメイン :site01.corp.fabrikam.com
DomainRole. :1
EnabledayLightSavateStime:true
FrontPanelResetStatus. :2
InfraredSupported :false
InstallDate. :installdate
keyboardpasswordstatus. :2
lastLoadInfo :lastLoadInfo
メーカー :Dell Inc.
モデル :Optiplex 745
名前 :server01
NameFormat :NameFormat
NetworkServerModeEnabled:true
NumberOfLogicalProcessors:2
NumberOfProcessors. :1
OemstringArray :www.dell.com
パートノミント :true
PauseafterReset. :-1
PCSystemType. :5
PowerManagementsUpported:PowerManagementsUpported
PoweronPasswordStatus. :1
PowerState. :0
PowerSupplyState :3
PrimaryOwnContact :PrimaryOwnContact
justribownAne :TestUser01
リセットキャプバティ性 :1
resetcount. :-1
resetlimit. :-1
ロール :{lm_workstation、lm_server、sqlserver、nt}
ステータス :OK
SystemStartupDelay. :SystemStartupDelay
SystemStartupsetting :SystemStartupSetting
SystemType. :x86ベースのPC
サーブステート :3
雑多な記憶物質 :3217760256
username. :fabrikam\testuser01
WakepType. :6
ワークグループ :workgroup
XSI : リンク:XMLSchemaインスタンス
P. :schemas.microsoft.com/wbem/wsman/1/wmi/root/cimv2/win32_service
CIM. : リンク:一般的な
タイプ :P:win32_service_type
lang :en-us
acteptpaine. :false
承認店 :false
キャプション:リモートプロシージャコール(RPC)
Checkpoint :0
creationClassName. :Win32_Service
説明 :エンドポイントマッパーとCOMサービス制御マネージャーとして機能します.この
の場合サービスが停止されています
または無効化されたプログラムまたはリモートプロシージャコール(RPC)サービスは機能しません
適切に.
DesktopInteract :false
DisplayName :リモートプロシージャコール(RPC)
エラーコントロール :通常
出口コード :0
InstallDate. :installdate
名前 :RPCSS
パス名 :
c:\windows\system32\svchost.exe-k rpcssProcessId. :1100
ServicesPecificeXitCode:0
ServiceType :シェアプロセス
始まりました :true
startmode. :auto
startname. :NT Authority\NetworkService
状態 :
を実行していますステータス :OK
SystemCreationClassName:Win32_ComputerSystem
SystemName. :server01
tagid. :0
waithint. :0
XSI : リンク:XMLSchemaインスタンス
P. :schemas.microsoft.com/wbem/wsman/1/wmi/root/cimv2/win32_systemdriver
CIM. : リンク:一般的な
タイプ :P:Win32_SystemDriver_Type
lang :en-us
acteptpaine. :false
承認店 :true
キャプション :http
creationClassName. :Win32_SystemDriver
説明 :http
DesktopInteract :false
DisplayName :http
エラーコントロール :通常
出口コード :0
InstallDate. :installdate
名前 :http
パス名 :
c:\windows\system32\drivers\http.sysServicesPecificeXitcode:0
ServiceType :カーネルドライバ
始まりました :true
startmode. :手動
startname. :
状態 :
を実行していますステータス :OK
SystemCreationClassName:Win32_ComputerSystem
SystemName. :server01
tagid. :0
このコマンドは、指定されたインスタンス(WinRM)に関連する関連インスタンスを取得します.
例に示すように、フィルタを引用符で囲む必要があります.
例8:指定されたインスタンスに関連するアソシエーションインスタンスを取得する
PS C:\>get-wsmaninstance-eNumerate-dialectアソシエーション-アソシエーション-Filter
"{object= win32_service?name= winrm}"-ResourceURI wmicimv2/*
指定されたインスタンス(WinRM)に関連するアソシエーションインスタンスを取得します.
だから方言の値は関連付けと関連付けパラメータが使用されている場合、このコマンドはAssociation
を返します.インスタンスではないインスタンスではありません.
問題が解決した場合は、「すべてクリア」になるので、Macrium Reflectを使用してPCを外部ドライバにイメージ化することをお勧めします.これが再び発生した場合は、イメージの1つをすばやく復元して、感染から回復できます.
応答4# ->にスキップ5 #coltongハローありがとうございます私はマルウェアを見たことがない(私は実際にそれが私のシステムを本当に攻撃していません)
そのようなものはそれを監視するほどです.私が見つけたより多くのスクリプトを掘り下げるほど.特に1つのスクリプトは、すべてのエクスプロイト/ディフェンダー設定を完全に無視します.現在別のPC ATM上にあるIMは、感染していますが、インターネットに接続されていません.
以前にしたらすぐに今日のアラームが消え始めました.プロセスをIPアドレスにリンクしてブロックするたびに、すべてのIPSは変更されました.私は現在IP範囲.192....255がブロックされました.クリーンインストール後も、私が見つけた最初のファイルは、Oldosから自分自身を抽出し、新OSに埋め込まれたコマンドを実行したスクリプトでした.しかし、それはWindows.oldから自分自身を引っ張ろうとしていましたが、まだ何もしていないのでどういうわけか
それはそれ自体を根本的に管理されています.私の管理者権限はdwindling and svchost.exeを掛けてください.SVChostがさまざまなApplicationをホストするために使用されていることを知っていますが、実行中の量は正常を超えています.現在、リモートアクセスが無効にされているものと監視されているすべてのポートと関係があります.MalwareBytesを使用して脅威Scanがありません.現在完全なシステムScanを実行しています.私は行わずにできることすべてについてだけをやりました
オンラインではなく、私のドライバの多くを再インストールまたはインストールして以来、Windowsを更新することもまだ更新していません.システムを攻撃するという点でできることはありますか.ある時点で、私はリモートマネージャを使用してクライアントシステムにアクセスし(私のPCが職場でサーバーとして表示されています)、ログイン画面に移動しましたが
パスワードを釘付けできませんでした.システム/ユーザー名はすべて1つを除くものであるため、それはある種のデフォルトでなければなりません.また、このスパイウェアがHP自身で私のシステムに置かれたほとんど肯定的です.'
私は私のラップトップを修理するためにHPに送った、そして12-14-18まで約12-1-18からありました.悪意のあるファイルを識別することを私が見つけた最も簡単な方法は、12-12-18で作成/変更された場合です.これがあったとき、それはそれがHPの監護権にあることを意味するでしょう
PCにロードされています.盗まれた私の個人情報のいずれかに対して100%の責任を負うべきであるような気がします.
クリーンインストールではWindows.oldフォルダを作成しません.また、クリーンインストールでも、すべての既存のパーティションを削除して、ツールがすべてを作成できるようにします.
あなたが彼らの世話中に問題が引き起こされたことをHPを示すことができるならば、あなたはそれらに連絡してそれを支援する必要があるでしょうが、これは彼らに証明するのが難しいかもしれません.
どのHPソフトウェアがインストールされていますか?
HP独自のリカバリディスク(すべての括弧内に含まれている)またはメディア作成ツールを使用していますか.
マルウェアの削除サイトの1つを試すには、自分がお勧めするものを確認してください.