SMB:CVE-2017-0144[Expl]

[COLOR=#000000][FONT=verdana]Аваст Фри обнаруживает угрозу SMB:CVE-2017-0144[Expl] раз 20 раз в час и блокирует ее. [/FONT][/COLOR][COLOR=#000000][FONT=verdana]Помогите пожалуйста.[/FONT][/COLOR]

Уважаемый(ая) [B]Pavel00[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Отключите до перезагрузки антивирус и [url="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт в AVZ[/url]:[code]begin
DeleteFile('C:\Program Files (x86)\00000000-1454408034-0000-0000-8C89A5D9E502\knsv276D.tmpfs', '');
DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe', '64');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\QMContextScan.dll', '');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\QMContextScan.dll', '32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\QMUdisk64.sys', '');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\QQPCRTP.exe', '');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\QQPCTray.exe', '64');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\QQSysMonX64.sys', '');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\softaal64.sys', '');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\TAOFrame.exe', '');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\TS888x64.sys', '');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\TSDefenseBT64.sys', '');
DeleteFile('C:\Program Files (x86)\Wedsoft\sjrQzY.exe', '');
DeleteFile('C:\Program Files\Content Defender\cd.exe', '');
DeleteFile('C:\ProgramData\NnXPehsoI\QgLPxIZx5.bat', '32');
DeleteFile('C:\Users\Администратор\AppData\Local\Temp\Rar$DIa0.733\OOO_STROYINVEST.scr', '64');
DeleteFile('C:\Users\Администратор\AppData\Roaming\daemon2.exe', '32');
DeleteFile('c:\users\Администратор\appdata\roaming\mail.ru\agent\bin\magent.exe', '');
DeleteFile('C:\Users\Администратор\AppData\Roaming\Mail.Ru\Agent\bin\magent.exe', '32');
DeleteFile('C:\Windows\system32\drivers\condef.sys', '');
DeleteFile('C:\Windows\system32\drivers\nethfdrv.sys', '');
ExecuteFile('schtasks.exe', '/delete /TN "{8D4E002E-D053-4836-B46C-0548BD9A7291}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "avastBCLRestartS-1-5-21-3219851738-3144810170-549433355-500" /F', 0, 15000, true);
DeleteService('cd');
DeleteService('condef');
DeleteService('HSystem');
DeleteService('nethfdrv');
DeleteService('QMUdisk');
DeleteService('QQPCRTP');
DeleteService('QQSysMonX64');
DeleteService('ruvilihyzbt');
DeleteService('softaal');
DeleteService('TAOFrame');
DeleteService('TS888x64');
DeleteService('TSDefenseBt');
DeleteFileMask('c:\program files (x86)\00000000-1454408034-0000-0000-8c89a5d9e502', '*', true);
DeleteFileMask('c:\program files (x86)\mobogenie', '*', true);
DeleteFileMask('c:\program files (x86)\tencent', '*', true);
DeleteFileMask('c:\program files (x86)\wedsoft', '*', true);
DeleteFileMask('c:\program files\content defender', '*', true);
DeleteFileMask('c:\programdata\nnxpehsoi', '*', true);
DeleteFileMask('c:\users\администратор\appdata\roaming\mail.ru', '*', true);
DeleteDirectory('c:\program files (x86)\00000000-1454408034-0000-0000-8c89a5d9e502');
DeleteDirectory('c:\program files (x86)\mobogenie');
DeleteDirectory('c:\program files (x86)\tencent');
DeleteDirectory('c:\program files (x86)\wedsoft');
DeleteDirectory('c:\program files\content defender');
DeleteDirectory('c:\programdata\nnxpehsoi');
DeleteDirectory('c:\users\администратор\appdata\roaming\mail.ru');
DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'agent.desktop');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Daemon');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #0');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ QQPCTray', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\dskchk', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{63332668-8CE1-445D-A5EE-25929176714E}');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteRepair(13);
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Скачайте, распакуйте и запустите [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk" -> ["C:\ProgramData\NnXPehsoI\QgLPxIZx5.bat"]
>>> "C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk" -> ["C:\ProgramData\NnXPehsoI\QgLPxIZx5.bat"]
>>> "C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk" -> ["C:\ProgramData\NnXPehsoI\QgLPxIZx5.bat"]
>>> "C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.12 1707.lnk" -> ["C:\ProgramData\wAGXApEObO\KFMqKeTb2.bat"]
>>> "C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk" -> ["C:\ProgramData\VkUdHQFn\kJyjIfE0.bat"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HASP License Manager\HASP License Manager Help.lnk" -> ["C:\Program Files (x86)\Aladdin\HASP LM\nhsrvw32.hlp"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HASP License Manager\HASP License Manager.lnk" -> ["C:\Program Files (x86)\Aladdin\HASP LM\nhsrvw32.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1C Предприятие 8.1\HASP License Manager Help.lnk" -> ["C:\Program Files (x86)\Aladdin\HASP LM\nhsrvw32.hlp"]
>>> "C:\Users\Администратор\Desktop\заказать печать\образец штампа.lnk" -> ["D:\ГБУ ЖИЛИЩНИК\ГБУ ЖИЛИЩНИК\ФАКСОГРАММЫ\Глав. контрольное управление\Прилепский\образец штампа.pdf"]
>>> "C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ConsultantPlus\Консультант+.lnk" -> ["D:\Консультант Элкод\cons.exe"]
>>> "C:\Users\Public\Desktop\Приобретение расходных материалов HP.lnk" -> ["C:\Program Files (x86)\HP\hpqSSupply.exe"]
>>> "C:\Users\Public\Desktop\Скачать Ammyy_Admin.lnk" -> ["C:\Users\Public\AppData\Local\Temp\Rar$EXa0.721\Ammyy_Admin.exe" =>> -sprunfromlink]
>>> "C:\Users\Администратор\Desktop\Kadry - Ярлык.lnk" -> ["C:\Kadry.exe"]
[/CODE]Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/url] (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B]):[code]R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://smartsputnik.ru/?ri=1&uid=e58e3dbea5161bff21f3c436dad5d9e9&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://smartsputnik.ru/?ri=1&uid=e58e3dbea5161bff21f3c436dad5d9e9&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [CustomizeSearch] = http://smartsputnik.ru/?ri=1&uid=e58e3dbea5161bff21f3c436dad5d9e9&q=
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://smartsputnik.ru/?ri=1&uid=e58e3dbea5161bff21f3c436dad5d9e9&q=
O2 - HKLM\..\BHO: TrustMediaViewerV1alpha5818 - {ceaa1cfc-57af-499d-b729-e88aa9de4c17} - (no file)
O22 - Task (Job): AlterGeoUpdater-S-1-5-18.job - C:\Program Files (x86)\AlterGeo\Html5 geolocation provider\html5locsvc.exe /task
O22 - Task: (disabled) AlterGeoUpdater-S-1-5-18 - C:\Program Files (x86)\AlterGeo\Html5 geolocation provider\html5locsvc.exe /task[/code]

Сделайте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]Malwarebytes AdwCleaner[/URL].

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.