Bloqueo de la conexión saliente de DiagTrack después de una infección de malware

3

Fui estafado y pensé que esos estafadores eran realmente de Microsoft, así que los dejé conectados remotamente a mi computadora. No sé qué instalaron en él.

Después de darme cuenta de que era una estafa, reinicié mi computadora, limpié todas las unidades y reinstalé Windows 10. Pensé que cualquier virus que tenía debería haber desaparecido.

Pero escribí "netstat -ano" en el símbolo del sistema, y todavía veo esto:

TCP    192.168.1.9:49793      111.221.29.254:443     ESTABLISHED     6752

Busqué el PID en el Administrador de tareas, es el servicio DiagTrack que es como un registrador de claves, ¿no? Y la IP que está conectada a ella: 111.221.29.254 se ha reportado 8 veces en AbuseIpDb.com.

No sé por qué, después de restablecer totalmente mi computadora, esta IP aún está conectada a mí.

Pensé en bloquear esta IP modificando el archivo host.

Usé nslookup 111.221.29.254 pero no pude encontrar el nombre de host para esta ip.

Server:  NF4V.Home
Address:  192.168.1.1

*** NF4V.Home can't find 111.221.29.254: Non-existent domain

¿Hay alguna forma de impedir que esta IP se conecte a mi computadora?

¿Hay alguna forma de bloquear esta IP de mi enrutador?

    
pregunta kekehuang11 02.06.2017 - 11:37
fuente

2 respuestas

1

Si se trata de una instalación básica y nueva de Windows 10, probablemente NO sea un malware persistente. Es muy probable que se trate de los servicios de telemetría de Windows: desde Windows 8, Microsoft ha estado agregando más y más funciones automatizadas de "teléfono a casa" en sus sistemas operativos, algunas de las cuales son excepcionalmente difíciles de deshabilitar. Todo esto está relacionado con las funciones de "Experiencia de aplicación" del sistema operativo (razones benignas para hacerlo, para obtener datos de rendimiento sobre el sistema operativo y las aplicaciones, para determinar cómo las personas usan su sistema operativo. Razón malévola para hacer esto: recopilación de datos, publicación de anuncios , etc)

Las referencias a este servidor en línea apuntan a Microsoft Singapur, y hay muchas personas que informan a DiagTrack como un servicio de telemetría de Microsoft y hacen referencia a la misma dirección IP que ve.

Puede verificar que se trata de una herramienta de Microsoft utilizando otra herramienta de Microsoft llamada Process Explorer (descargue esto desde Microsoft, busque Process Explorer y SysInternals, un gran conjunto de herramientas para profundizar en el sistema operativo). Al ejecutar Process Explorer, puede ver todos los procesos en ejecución en su sistema, qué compañía los creó y si están firmados digitalmente (ejecute Process Explorer, elija las columnas mostradas - agregue el nombre de la compañía y el firmante verificado, luego seleccione Opciones - Verificar firmas de imagen ). Esto comprobará que los procesos en ejecución proceden de archivos oficialmente válidos de los editores. Si la imagen está firmada digitalmente, es un buen producto de Microsoft o los certificados de firma de código de Microsoft se han comprometido y todos estamos en un mundo de dolor;)

Puede intentar deshabilitar este y otros sistemas de telemetría de Windows optando por no participar en el programa Application Experience, pero algunas funciones de telemetría continúan ejecutándose en Windows 10. Otro investigador propuso "saturar" el tráfico de telemetría bloqueando el enrutamiento a este IP ( enlace ) - pero, por supuesto, Microsoft preferiría que no hiciste eso.

    
respondido por el claidheamh 02.06.2017 - 13:55
fuente
0

No trabajo mucho en Windows pero puedo compartir algunos puntos:

  

Reinicié mi computadora, limpié todas las unidades y reinstalé Windows 10. Pensé que cualquier virus que tenía debería haber desaparecido

Estoy confiando en que es malware; no se puede verificar correctamente (buscar en Google es solo el primer paso) sin una muestra.

Algunos malware pueden persistir más allá de la reinstalación. Sin embargo, no he encontrado estafadores de apoyo usándolos. No podemos descartar la existencia de este malware antes del incidente de estafa.

  

TCP 192.168.1.9:49793 111.221.29.254:443 ESTABLECIDO 6752   ¿Hay alguna forma en que pueda bloquear esta IP para que no se conecte a mi computadora?   ¿Hay alguna forma de que pueda bloquear esta IP de mi enrutador?

Esto indica que se trata de una conexión de salida (egreso). Así que su computadora se está conectando a ella (esto es normal para el malware), no al revés.

Sí, debería poder bloquearlo tanto desde su computadora usando el Firewall de Windows - > Configuración avanzada - > Reglas de salida - > Pestaña Acciones - > Nueva regla. Los artículos de Microsoft son un poco menos útiles, pero puede probar este .

Sin embargo, si su computadora está realmente infectada pero el malware persiste más allá de las reinstalaciones, no confiaría en el sistema operativo de su computadora. Por eso es mejor bloquearlo en tu enrutador. Use una configuración de firewall similar (como con el firewall de Windows anterior) también en el enrutador, en la sección de conexiones salientes.

Muchos enrutadores domésticos son notoriamente inseguros y podrían ser un vector para infectar tu computadora, pero esa es una línea diferente de paranoia.

Dependiendo de cuánto te afecte, te sugiero que consigas un profesional de seguridad para que revise tu configuración. Algunos profesionales de TI son buenos en seguridad, otros no. Es difícil notar la diferencia, por lo que también es un obstáculo para ti.

Buena suerte.

    
respondido por el Sas3 02.06.2017 - 12:50
fuente

Lea otras preguntas en las etiquetas