smb:cve-2017-0144 Avast

Printable View

15.08.2018, 21:08
Vlad1859

Вложений: 3

smb:cve-2017-0144 Avast

Здравствуйте. регулярно антивирус Avast выдает сообщение о том, что подключение к сайту запрещено, т.к. он заражен smb:cve-2017-0144. Это происходит вне зависимости от моих действий. Сообщения могут появляться даже во время "простоя".
Установка обновлений kb4012215 и kb4012212 приводит к тому, что ОС перестает запускаться.
Просьба помочь в решении вопроса.
15.08.2018, 21:10
Info_bot

Уважаемый(ая) [B]Vlad1859[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
16.08.2018, 06:33
SQ

Здравствуйте,

Для начало в Windows Firewall закройте SMB порты (139,445).

HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[CODE]
O2-32 - HKLM\..\BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: DropboxExt1 - {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: DropboxExt2 - {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: DropboxExt3 - {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} - (no file)
[/CODE]

- Подготовьте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]AdwCleaner[/URL] и приложите его в теме.
16.08.2018, 18:37
Vlad1859

Вложений: 1

Прикладываю отчет
16.08.2018, 20:30
SQ

[url=https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1480599]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
16.08.2018, 21:06
Vlad1859

Вложений: 2

Прикрепляю отчет после удаления, и отчет нового сканирования
17.08.2018, 07:39
SQ

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
17.08.2018, 18:18
Vlad1859

Вложений: 2

Прикрепляю отчет.
18.08.2018, 00:23
SQ

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
File: C:\Program Files (x86)\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
File: C:\Windows\SysWOW64\srvany.exe
File: C:\Windows\System32\DRIVERS\oem-drv64.sys
2015-02-20 20:53 - 2015-02-20 20:57 - 000000000 _____ () C:\Users\Zepfon\AppData\Local\{3551874B-CF49-4C18-B419-1CAF32D9C344}
2009-01-01 00:02 - 2009-01-01 00:02 - 000000000 _____ () C:\Users\Zepfon\AppData\Local\{7F666DAB-4583-446B-8CD9-10ED335AA1E5}
2015-01-13 20:58 - 2015-01-13 20:58 - 000000000 _____ () C:\Users\Zepfon\AppData\Local\{96D77459-2DCB-4F24-8A85-5F510B0B6E71}
2018-04-16 20:03 - 2018-04-16 20:03 - 000000180 _____ () C:\Users\Zepfon\AppData\Local\Temp\00e481b5e22dbe1f649fcddd505d3eb7.dll
2018-04-16 20:03 - 2018-04-16 21:25 - 000000017 _____ () C:\Users\Zepfon\AppData\Local\Temp\a5c5640a83af351e64560c2ffb96e5f6.dll
ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => -> No File
ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => -> No File
ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => -> No File
ContextMenuHandlers1_S-1-5-21-1534101780-1925699047-761322443-1000: [DropboxExt] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => -> No File
ContextMenuHandlers4_S-1-5-21-1534101780-1925699047-761322443-1000: [DropboxExt] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => -> No File
ContextMenuHandlers5_S-1-5-21-1534101780-1925699047-761322443-1000: [DropboxExt] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => -> No File
Task: {62AB8AE4-77A6-4B97-B77A-675328775B57} - \Zepfon -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [147]
AlternateDataStreams: C:\Users\Zepfon\AppData\Local\Temp:$DATA [16]
AlternateDataStreams: C:\Users\Zepfon\AppData\Local\Temp:$DATA [34]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:58A5270D [147]
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
18.08.2018, 07:33
Vlad1859

Вложений: 1

Прикрепляю Fixlog.txt
18.08.2018, 17:39
SQ

Сообщите, что с проблемой?
19.08.2018, 09:36
Vlad1859

[QUOTE=SQ;1486873]Сообщите, что с проблемой?[/QUOTE]
На данный момент сообщения от аваста не появляются. Стоит ли открывать порты?
19.08.2018, 20:01
SQ

[QUOTE=Vlad1859;1486898] Стоит ли открывать порты?[/QUOTE]

Нет, также необходимо установить обновления закрывающие уязвимость [URL="https://www.catalog.update.microsoft.com/search.aspx?q=kb4012212"]SMB[/URL].

P.S. закрытия портов лишь не даст возможность воспроизвести уязвимость SMB, при этом саму уязвимость не закроет.

В завершение:
1.
[list][*]Пожалуйста, запустите adwcleaner.exe[*]В меню [B]Настройки[/B] -[B] Удалить AdwCleaner[/B] - выберите [B]Удалить[/B].[*]Подтвердите удаление, нажав кнопку: Да.[/list]

Переименуйте FRST.exe (или FRST64.exe) в [B]uninstall.exe[/B] и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.