Νομιζω εχω κολλησει malware...

[zaranero]

Malwarebytes
www.malwarebytes.com


-Log Details-
Protection Event Date: 3/22/18
Protection Event Time: 10:27 AM
Log File: e58bee2e-2daa-11e8-8c08-1c6f65bb9394.json
Administrator: Yes


-Software Information-
Version: 3.4.4.2398
Components Version: 1.0.322
Update Package Version: 1.0.4444
License: Trial


-System Information-
OS: Windows 10 (Build 16299.309)
CPU: x64
File System: NTFS
User: System


-Blocked Website Details-
Malicious Website: 1
, , Blocked, [-1], [-1],0.0.0


-Website Data-
Category: Unspecified
Domain: f.top4top.net
IP Address: 163.172.209.236
Port: [18903]
Type: Outbound
File: C:\Program Files\Mozilla Firefox\firefox.exe






(end)

Εχω ενα outbound connection στο top4top.net που μπλοκαρει το malwarebytes ....

Οποτε κανω αναζητηση για "top4top.net" (με τα εισαγωγικα μαζι) μου βγαζει μηνυμα οτι μπλοκαρει αυτη την outbound connection (ασχετως του browser που χρησιμοποιω). Αλλα και χωρις να κανω αναζητηση σε τυχαιες χρονικες στιγμες πεταει αυτο το μηνυμα, εδω και 2-3 ημερες που το παρατηρησα.



Εκανα scan με malwarebytes , με το avast και με το zemana antimalware δεν μπορεσα να εντοπισω καποια μολυνση.


Νομιζω οτι το top4top.net ειναι υπηρεσια να ανεβαζεις αρχεια, οποτε καποιος προσπαθει να υποκλεψει πληροφοριες και να τις ανεβασει εκει?

Τι μπορω να κανω?

[hemlock]

Θα μπορούσες να κόψεις την κίνηση απο το router ή με το hosts file του λειτουργικού. Και μετά να ψάξεις το πως και το γιατί μπήκε στο σύστημά σου.

[skel]

ότι λέει ο φίλος @hemlock και δοκίμασε επίσης ένα σκαν με το hitman pro

[xaris2335]

Για να το αφαιρέσεις
πρώτα δοκίμασε το system restore αν δεν δουλέψει τότε δοκίμασε τα παρακάτω.
+ windows repair
θα σου πρότεινα να επιλέξεις αυτά που λέει το παλικάρι
https://youtu.be/yrjaZoEZXIQ?t=318
+ tdsskiller

Για εντοπισμό
τώρα για να εντοπίσεις αυτόν μπορείς να χρησιμοποιήσεις το process explorer τρέξτο σαν admin ενεργοποίησε τη στήλη virus total και δες ποιο πρόγραμμα είναι κόκκινο αυτό είναι υποψήφιος ιός, όπως επίσης με ροζ χρώμα είναι ιός.

- - - Updated - - -

επίσης τσέκαρε το company name δεν θα πρέπει να είναι κενό.

- - - Updated - - -

δοκίμασε και το netstat -ano και με την id εντόπισε τον, επιπλέον θα μπορούσε να κάνεις περισσότερη ανάλυση με reverse engineering αν γνωρίζεις απο προγραμματισμό.

[zaranero]

Ευχαριστω , εχω windows 10 pro την τελευταια εκδοση .... ειναι αρκετα εξυπνο το hosts file ωστε να χρησιμοποιησω wild cards?

Εχει ουτε εγω ξερω ποσα subdomains το top4top.net ...

Δοκιμασα και το process explorer και του ενεργοποιησα το virus total (cool προγραμμα) , αλλα δεν βρισκω ουτε υποψια .... malware.

- - - Updated - - -

Επισης δοκιμασα και το hitman pro .... δεν βρηκε τιποτα...

- - - Updated - - -

Το μονο δλδ που εχω στα χερια μου ειναι αυτα τα outbound connections που εντοπιζει το malwarebytes...

- - - Updated - - -

Λεω να κανω ενα καθαρισμα στο συστημα με το ccleaner.

Λεω επισης να χρησιμοποιησω και αυτο https://www.binisoft.org/wfc.php που το χρησιμοποιυσα και παλιοτερα ωστε να ελεγχω τι μπαινοβγαινει ... η real protection του malwarebytes ληγει σε λιγες ημερες.

Αυτο σαν πρωτα βηματα.... τωρα πως να πολεμησεις κατι που δεν μπορεις ουτε να εντοπισεις?

[hemlock]

Ευχαριστω , εχω windows 10 pro την τελευταια εκδοση .... ειναι αρκετα εξυπνο το hosts file ωστε να χρησιμοποιησω wild cards?

Εχει ουτε εγω ξερω ποσα subdomains το top4top.net ...

Δοκιμασα και το process explorer και του ενεργοποιησα το virus total (cool προγραμμα) , αλλα δεν βρισκω ουτε υποψια .... malware.

- - - Updated - - -

Επισης δοκιμασα και το hitman pro .... δεν βρηκε τιποτα...

- - - Updated - - -

Το μονο δλδ που εχω στα χερια μου ειναι αυτα τα outbound connections που εντοπιζει το malwarebytes...

Υπάρχουν έτοιμα Hosts files για να αντιγράψεις το περιεχόμενό τους ,με χιλιάδες εγγραφές πχ. Απλά θέλει πολλλλλύ προσοχή τι θες να κόψεις, ψάξε πρώτα αν υπάρχει εκεί μέσα το top4top.net .

[zaranero]

127.0.0.1 a.top4top.net
127.0.0.1 b.top4top.net
127.0.0.1 c.top4top.net
127.0.0.1 cdn.top4top.net
127.0.0.1 e.top4top.net
127.0.0.1 f.top4top.net
127.0.0.1 d.top4top.net
127.0.0.1 download.top4top.net
127.0.0.1 o.top4top.net
127.0.0.1 p.top4top.net
127.0.0.1 vp.top4top.net
127.0.0.1 s002.top4top.net
127.0.0.1 q.top4top.net
127.0.0.1 m.top4top.net
127.0.0.1 r.top4top.net
127.0.0.1 n.top4top.net
127.0.0.1 j.top4top.net
127.0.0.1 i.top4top.net
127.0.0.1 k.top4top.net
127.0.0.1 h.top4top.net
127.0.0.1 g.top4top.net
127.0.0.1 l.top4top.net
127.0.0.1 mail.top4top.net
127.0.0.1 ns3.top4top.net
127.0.0.1 ns1.top4top.net
127.0.0.1 ns2.top4top.net
127.0.0.1 cdn01.top4top.net
127.0.0.1 www.top4top.net
127.0.0.1 ns6.top4top.net
127.0.0.1 ns5.top4top.net
127.0.0.1 s.top4top.net
127.0.0.1 blog.top4top.net

Νομιζω βρηκα ολα τα subdomains .... αυτος ειναι ο σωστος τροπος να τα μπλοκαρω ε? Βαζοντας το 127.0.0.1 μπροστα?

[hemlock]

Τα στέλνεις σε IP που δεν χρησιμοποιείς/ετε...
(Kαι η 0.0.0.0 το ίδιο θα έκανε.)

[xaris2335]

υποψιάζομαι ότι πρέπει να είναι της m$ το telemetry.
Αν ναι δοκίμασε το παρακάτω πρόγραμμα.
https://www.safer-networking.org/spybot-anti-beacon/

- - - Updated - - -

άκυρο λάθος έκανα.
καλά κάνει και το μπλοκάρει άστο μην το βάζεις στα exclude.
https://www.google.gr/url?sa=t&rct=j...v6_7B-oMZtJcMa

[zaranero]

Νομιζω οτι κατι δεν παει καλα με το malwarebytes .... χωρις να μπορω να ειμαι σιγουρος.

Οπως ειπα οταν κανω αναζητηση με εισαγωγικα στο "top4top.net" μου πεταει παντα το block .... αλλα το firewall που εγακτεστησα δεν .... βλεπει κανενα outbound connection....



Καποιο απο τα δυο λεει ... ψεμματα.

[sdikr]

Πιο πάνω έχεις

File: C:\Program Files\Mozilla Firefox\firefox.exe

Που σημαίνει μάλλον πως την κίνηση την κάνει κάτι μέσα απο τον firefox, και όχι κάποια άλλη εφαρμογή, κάποιο addon ίσως;

Στο firewall δεν θα δείς κάτι απο την στιγμή που έχει επιτρέψει την σύνδεση στον Browser

[zaranero]

Πιο πάνω έχεις



Που σημαίνει πως την κίνηση την κάνει κάτι μέσα απο τον firefox, και όχι κάποια άλλη εφαρμογή

Ναι δοκιμασ και το chrome και κανει το ιδιο μονο που ααναφερει το chrome.exe σαν ενοχο...

- - - Updated - - -

Αααα ναι καταλαβα τι λες.... νομιζω

- - - Updated - - -

Οντως δεν βλεπω στο firewall το chrome για παραδειγμα οταν το ξαναανοιγω .... κακως βεβαια για το log του συγκεκριμενου firewall που ειναι addon του windows firewall απο οτι καταλαβα , γιατι εχω "πει" στο log να δεχνει ολα τα connections συμπεριλαμβανομενου των allowed....

- - - Updated - - -

Εκανα ενα λαθος .... το ερευνω ... νομιζω κατι εντοπισα....

- - - Updated - - -

Ναι μπορω με το firewall να δω τα connections πχ του Chrome , αλλα δεν παιρνω τα ιδια αποτελεσματα με του malwarebytes ... δεν μπορω να εντοπισω κατι μεμπτο...

[xaris2335]

Τρέξε το autoruns και πήγαινε options>filter options και τσέκαρε τα verify code singatures και hide microsoft entries
Το malwarebytes σκανάρει κανονικά αν ναι τότε δεν έχεις πρόβλημα αλλιώς αν δεν τρέχει τότε έχεις ρίξε μια ματιά στο λινκ στο κομμάτι hijack.
https://www.howtogeek.com/school/sys...pro/lesson6/2/
Κανονικά το tab hijack θα πρέπει να είναι κενό.

Σου συνιστώ να διαβάσεις πολύ καλά όλα τα λινκς που σου έδωσα για να μπορείς μόνος σου να εντοπίζεις κακόβουλα προγράμματα που εγκαθιστώνται είτε επισκέπτοντας μια κακόβουλη ιστοσελίδα είτε μέσω μέϊλ.
Είτε κατεβάζοντας πειρατικά προγράμματα γιατί και απο εκεί μπορείς να κολλήσεις.

[zaranero]

Ευχαριστω , δεν μπορω να βρω τιποτα. Ισως να μην εχω κολλησει κατι τελικα , απλως το malwarebytes προειδοποιει οταν πιασει καποια αναφορα σε κατι υποπτο , ειτε ειναι διαφημιση καθως τρεχεις και λειτουργεις το browser , ειτε οτιδηποτε.

Σημερα εληξε και η trial περιοδο που ειχα , και γυρισε στη δωρεαν εκδοση. Εβαλα και το zemana ποθ θα το εχω δωρεαν το full για καμμια 20αρια ημερες ακομα , αλλα αυτο δεν με εχει προειδοποιησει για τιποτα.