445 порт :microsoft-ds [Trojan-Ransom.Win32.Wanna.m ]

**foxconn** · 13.06.2017, 18:57

Добрый день.
Сегодня, на прокси сервере, обнаружили что несколько пользователей локальной сети создают массу подключений на различные внешние адреса через 445 порт.
При этом локальная сеть практически перестала работать и значительно упала скорость выхода в интернет. Они ушли в лимит соединений, на сервере. Если лимит соединений поднять, то они моментально его исчерпывают.
Некоторые ПК начали отключаться с "синим экраном".

После чего, 445 порт на прокси сервере был закрыт. Ситуация с интернетом и локальной сетью нормализовалась.

Но пользовательские ПК все равно создают такие запросы через этот порт.

Помогите их вылечить!

вот часть выполнения netstat на одном из таких ПК
Имя Локальный адрес Внешний адрес Состояние
TCP 127.0.0.1:1111 lati:1112 ESTABLISHED
TCP 127.0.0.1:1112 lati:1111 ESTABLISHED
TCP 127.0.0.1:1180 lati:1181 ESTABLISHED
TCP 127.0.0.1:1181 lati:1180 ESTABLISHED
TCP 192.168.1.53:1048 DS:epmap ESTABLISHED
TCP 192.168.1.53:1052 DS:49156 ESTABLISHED
TCP 192.168.1.53:1072 REG99:1054 ESTABLISHED
TCP 192.168.1.53:1723 softbank221019052212:microsoft-ds SYN_SENT
TCP 192.168.1.53:1725 189.52.133.38:microsoft-ds SYN_SENT
TCP 192.168.1.53:1731 71-93-41-44:microsoft-ds SYN_SENT
TCP 192.168.1.53:1732 49.19.30.140:microsoft-ds SYN_SENT
TCP 192.168.1.53:1734 static-74-102-123-2:microsoft-ds SYN_SENT
TCP 192.168.1.53:1741 211.237.121.58:microsoft-ds SYN_SENT
TCP 192.168.1.53:1744 175.168.142.147:microsoft-ds SYN_SENT
TCP 192.168.1.53:1745 host-197:microsoft-ds SYN_SENT
TCP 192.168.1.53:1751 133.44.114.220:microsoft-ds SYN_SENT

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 13.06.2017, 18:59

Уважаемый(ая) foxconn, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 13.06.2017, 22:48

С начала атаки вымогателя WanaCry прошёл уж месяц, с добрым утром...

Отключите компьютер от сети и выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\windows\mssecsvc.exe');
 QuarantineFile('c:\windows\mssecsvc.exe', '');
 DeleteFile('c:\windows\mssecsvc.exe', '32');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Устраняйте уязвимость, ту самую, которую использует нашумевший WannaCry: MS17-010: Описание обновления безопасности для Windows SMB Server, причём на всех компьютерах в сети. После этого можно их снова подключать к сети.

Сделайте новый лог Autologger.

**foxconn** · 14.06.2017, 09:36

Обновление поставил. Архив карантина quarantine.zip отправил.

**Vvvyg** · 14.06.2017, 21:05

Новый лог жду.

**foxconn** · 14.06.2017, 21:57

Сделал.

**Vvvyg** · 14.06.2017, 22:09

Порядок.
Остальные компьютеры лечите тем же скриптом, останутся проблемы - для каждого отдельную тему создайте.

**CyberHelper** · 14.06.2017, 22:19

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\mssecsvc.exe - Trojan-Ransom.Win32.Wanna.m ( BitDefender: Gen:Variant.Symmi.53623 )

445 порт :microsoft-ds [Trojan-Ransom.Win32.Wanna.m ] (заявка № 212975)

Опции темы