Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Разбираемся: что msmpeng.exe хочет отправить в сеть

< Предыдущая 1 2
Ответить
Настройки темы
Разбираемся: что msmpeng.exe хочет отправить в сеть

Новый участник


Сообщения: 10
Благодарности: 0

Профиль | Отправить PM | Цитировать

Изменения
Автор: to_stas
Дата: 18-09-2021
Описание: Уточнение вопроса в конце сообщения.
Привет.
Каждый день, после включения ПК, Malwarebytes Windows Firewall Control v6.7.0.0 уведомляет о попытке процесса msmpeng.exe выйти в сеть (все попытки процесса ID: 2764 на скриншоте).

Код: Выделить весь код
ID процесса: 2764
Имя: Antimalware Service Executable
Программа: C:\programdata\microsoft\windows defender\platform\4.18.2108.7-0\msmpeng.exe
Действие: Block
Направление: Out 
Адрес получателя: 51.105.236.244 (может быть разным)
Порт получателя: 443 TCP

Снимок.PNG
После однократной блокировки операции процессом предпринимается следующая попытка. Я решаю полностью заблокировать возможность выхода в сеть данного процесса (скорее всего после этого файлы для анализа не будут улетать, поэтому хочу разобраться в ситуации и вернуть возможность процессу отправлять данные).

Решение о полной блокировке сразу приводит к всплывающему окну защитника Windows:

Код: Выделить весь код
Behavior:Win32/WDBlockFirewallRule.P
Уровень оповещения: Критический
Состояние: Активно
Дата: 18.09.2021 7:55
Категория: Подозрительное поведение
Сведения: Эта опасная программа выполняет команды злоумышленника.
Затронутые элементы:behavior: pid:2516:1937012556366723
process: pid:2516,ProcessStart:132764142077484303
regkeyvalue: HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{6076C317-BFD1-455E-BFB1-B126420082B0}

Снимок Comodo.PNG
Снимок Regedit.png
Процесс с ID 2516 - это svchost.exe, а вот строчки {6076C317-BFD1-455E-BFB1-B126420082B0} - в реестре не обнаружено. Наверное её защитник windows сносит после создания в брандмауэре.

Вопрос такой: как можно узнать, что влияет на файл svchost.exe и что пытается отправить msmpeng.exe в сеть для анализа ?
Я не "профи", но любознательный.

Отправлено: 08:47, 18-09-2021

 

Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать

Хорошо, соберите ещё раз логи FRST и Addition.

-------

Отправлено: 08:03, 21-09-2021 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 10
Благодарности: 0

Профиль | Отправить PM | Цитировать


FRST.txt
Addition.txt

Отправлено: 21:45, 21-09-2021 | #12


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать

Вижу, вы уже запускали
Цитата:
C:\Users\Acer\Downloads\kavremvr.exe
Пройдитесь ещё раз, следы видны.
А также утилитой очистки антивируса ESET (тоже видно в логах).

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: Выделить весь код
    Start::
SystemRestore: On
CreateRestorePoint:
AV: Kaspersky Internet Security (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
FW: Kaspersky Internet Security (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
FirewallRules: [{44715BCA-C27C-4CD2-9081-79F81C846C09}] => (Allow) C:\program files (x86)\hitmanpro.alert\hmpalert.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

-------

Отправлено: 07:58, 22-09-2021 | #13


Новый участник


Сообщения: 10
Благодарности: 0

Профиль | Отправить PM | Цитировать


Fixlog.txt

Утилита ESETUninstaller, судя по её логу, нашла и удалила Purge leftover ESET Security data.
Утилита kavremover выдаёт список продуктов, среди которых нет Kaspersky Internet Security 21.3. Думаю, придётся сегодня перебрать все доступные программы из списка.

kavremover.png

Отправлено: 07:29, 23-09-2021 | #14


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать

Цитата to_stas:
перебрать все доступные программы из списка »
Не нужно. Следы очищены скриптом.

В завершение:

1. Выполните процедуру, описанную на этой странице.

2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

-------

Отправлено: 08:15, 23-09-2021 | #15


Новый участник


Сообщения: 10
Благодарности: 0

Профиль | Отправить PM | Цитировать


Здесь так же версия ОС некорректна, но на то наверняка есть причина...
SecurityCheck.txt

https://defendium.info/aqs/qr_report...E37C7F5ED153B2

Последний раз редактировалось to_stas, 24-09-2021 в 23:31. Причина: Ссылка на defendium

Отправлено: 22:33, 24-09-2021 | #16


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать

На заметку - Рекомендации после лечения.

-------

Отправлено: 09:12, 25-09-2021 | #17


Новый участник


Сообщения: 10
Благодарности: 0

Профиль | Отправить PM | Цитировать

Благодарю.

Больше уведомлений от антивируса при блокировке соединений с интернетом - не возникало. Будем считать вопрос решенным.
Спасибо большое за помощь!

Отправлено: 07:18, 26-09-2021 | #18

< Предыдущая 1 2


Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Разбираемся: что msmpeng.exe хочет отправить в сеть

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Интерфейс - W10 не хочет ассоциировать .fb2 файлы с cr2.exe LiXiQing Microsoft Windows 10 3 02-10-2018 18:47
Службы - Насчёт MsMpEng.exe (вопрос по Antimalware Service Executable ) Peter15 Microsoft Windows 8 и 8.1 2 06-08-2017 15:01
Загрузка - Долгая загрузка подозрения на MsMpEng Valeant Microsoft Windows 10 2 03-08-2015 23:29
Разное - Мой Компьютер не хочет читать диски что делать? YARIKSA Прочее железо 0 15-01-2015 20:30
7 / 2008 R2 - [решено] bios first boot device не хочет видить что либо. semenator Хочу все знать 4 08-12-2014 14:08


« Предыдущая тема | Следующая тема »


 
Переход