smb:cve-2017-0144 [expl]

Здравствуйте!

После переустановки Виндовс Аваст начал показывать сообщения:

Безопасно прервано подключение к сайту, так как он заражен
smb:cve-2017-0144 [expl]

На всякий случай, два скрина этих сообщений.

Заранее благодарю за помощь в решении этой проблемы.

[ATTACH=CONFIG]672582[/ATTACH][ATTACH=CONFIG]672583[/ATTACH]

Уважаемый(ая) [B]olaffson[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!

[URL="http://virusinfo.info/showthread.php?t=130828"][b]Временно[/b] отключите защитное ПО[/URL].
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:

[CODE]begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.
[/CODE]

Компьютер [U]перезагрузится[/U].


[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL] при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Этот файл avz_log.txt прикрепите к следующему сообщению.

Здравствуйте, Sandor!

Спасибо, что откликнулись =)

Сделал все, о чем вы просили. Также выполнил "указания" из avz_log.txt.

Правда, имею затруднения по первому пункту из файлика: ползунок надо было ставить в третье снизу положение, которое отмечено черточкой пожирнее? (скрин, как сделал, прикрепляю).

Adobe Flash Player обновил.

Файл avz_log.txt прикрепляю.
[ATTACH=CONFIG]672639[/ATTACH]

[quote="olaffson;1485111"]надо было ставить в третье снизу положение[/quote]
Все правильно.

Повторите CollectionLog с помощью Автологера. Если проблема сохраняется, сообщите - в момент срабатывания антивируса запущен ли какой-либо браузер? Если да, какой именно? Проверьте, проявляется ли, если использовать браузер Internet Explorer?

Прочел ваш ответ через несколько минут после того, как вы его оставили. В Опере (54.0.2952.54). Запустил Автологер. И в течение этого часа Аваст обнаружил эту же угрозу.


Сейчас же, придя с работы, вот уже два часа пользуюсь только Internet Explorer. Аваст не "матерился". Запустил Автологер. Вот этот вечерний CollectionLog и прикрепляю. Если нужен утренний - напишите, прикреплю.

[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Malwarebytes)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt[/COLOR][/B] (где x - любая цифра).[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Сделано!

(Вот сейчас утром с открытой Оперой снова была "тревога" Аваста).

Отключите в Опере [B]все[/B] расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.

Повыключал в Меню --> Расширения (у меня их три всего-то: AdBlock Plus, Browsec VPN и SaveFrom.net).

После этого Аваст еще дважды "матерился".

Простите, а где искать стандартные, о которых вы упоминали?

Посмотрим еще такие логи:
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Сделал. Прикрепляю.

Запускал вот с такими параметрами (флажков ни ставил, ни снимал).

[ATTACH=CONFIG]672681[/ATTACH]

Если необходимо, сохраните нужные закладки и сделайте [url=http://computerkafe.ru/brauzery/sbrasyvaem-nastrojki-v-opere]сброс настроек[/url] браузера.

Ок, сделаю. О результатах сообщу.

Также, наверное, это важно, что та же проблема вылезла только что, через минут 5 после включения компьютера, когда не был запущен ни один браузер. Только десктопная версия Вайбера.



[I]После проведенных манипуляций снова Аваст сообщил о той же проблеме.[/I]

К сети подключаетесь через роутер? Если да, один компьютер?

Нет, шнурок сразу в компьютер втыкнут.

Посмотрим еще такой лог:
Скачайте [url=https://downloads.malwarebytes.com/file/mb3/]Malwarebytes' Anti-Malware[/url]. Установите.
На вкладке "Параметры" - "Личный кабинет" ("[B]Settings[/B]" - "[B]My Account[/B]") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

Если там не будет детектов, найдите способ подключиться через другого провайдера (например, через телефон или usb-модем) и проверьте.

Ничего не найдено. Отчет на всякий случай прикрепляю.

Подключил свой Андроид-телефон через USB, выбрал в настройках режим модема. Стандартное подключение к интернету на компьютере выключил.

В данный момент интернет на компьютере присутствует. Это сообщение отправляется, как вы выразились, "через другого провайдера".

О результатах сообщу.

Ну что же, за сутки подключения компьютера к интернету через мобильный телефон, Аваст ни разу не кипишевал =)

Я так понимаю, мне следует обратиться в техподдержку своего провайдера?

Да, именно так. Результат сообщите, пожалуйста.