SMB:CVE-2017-0144[Expl]

[Pavel00]

Аваст Фри обнаруживает угрозу SMB:CVE-2017-0144[Expl] раз 20 раз в час и блокирует ее. Помогите пожалуйста.

[Info_bot]

Уважаемый(ая) Pavel00, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Отключите до перезагрузки антивирус и выполните скрипт в AVZ:

Код:

begin
 DeleteFile('C:\Program Files (x86)\00000000-1454408034-0000-0000-8C89A5D9E502\knsv276D.tmpfs', '');
 DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe', '64');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\QMContextScan.dll', '');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\QMContextScan.dll', '32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\QMUdisk64.sys', '');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\QQPCRTP.exe', '');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\QQPCTray.exe', '64');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\QQSysMonX64.sys', '');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\softaal64.sys', '');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\TAOFrame.exe', '');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\TS888x64.sys', '');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\TSDefenseBT64.sys', '');
 DeleteFile('C:\Program Files (x86)\Wedsoft\sjrQzY.exe', '');
 DeleteFile('C:\Program Files\Content Defender\cd.exe', '');
 DeleteFile('C:\ProgramData\NnXPehsoI\QgLPxIZx5.bat', '32');
 DeleteFile('C:\Users\Администратор\AppData\Local\Temp\Rar$DIa0.733\OOO_STROYINVEST.scr', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\daemon2.exe', '32');
 DeleteFile('c:\users\Администратор\appdata\roaming\mail.ru\agent\bin\magent.exe', '');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Mail.Ru\Agent\bin\magent.exe', '32');
 DeleteFile('C:\Windows\system32\drivers\condef.sys', '');
 DeleteFile('C:\Windows\system32\drivers\nethfdrv.sys', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{8D4E002E-D053-4836-B46C-0548BD9A7291}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "avastBCLRestartS-1-5-21-3219851738-3144810170-549433355-500" /F', 0, 15000, true);
 DeleteService('cd');
 DeleteService('condef');
 DeleteService('HSystem');
 DeleteService('nethfdrv');
 DeleteService('QMUdisk');
 DeleteService('QQPCRTP');
 DeleteService('QQSysMonX64');
 DeleteService('ruvilihyzbt');
 DeleteService('softaal');
 DeleteService('TAOFrame');
 DeleteService('TS888x64');
 DeleteService('TSDefenseBt');
 DeleteFileMask('c:\program files (x86)\00000000-1454408034-0000-0000-8c89a5d9e502', '*', true);
 DeleteFileMask('c:\program files (x86)\mobogenie', '*', true);
 DeleteFileMask('c:\program files (x86)\tencent', '*', true);
 DeleteFileMask('c:\program files (x86)\wedsoft', '*', true);
 DeleteFileMask('c:\program files\content defender', '*', true);
 DeleteFileMask('c:\programdata\nnxpehsoi', '*', true);
 DeleteFileMask('c:\users\администратор\appdata\roaming\mail.ru', '*', true);
 DeleteDirectory('c:\program files (x86)\00000000-1454408034-0000-0000-8c89a5d9e502');
 DeleteDirectory('c:\program files (x86)\mobogenie');
 DeleteDirectory('c:\program files (x86)\tencent');
 DeleteDirectory('c:\program files (x86)\wedsoft');
 DeleteDirectory('c:\program files\content defender');
 DeleteDirectory('c:\programdata\nnxpehsoi');
 DeleteDirectory('c:\users\администратор\appdata\roaming\mail.ru');
 DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
 DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'agent.desktop');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Daemon');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #0');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ QQPCTray', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\dskchk', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{63332668-8CE1-445D-A5EE-25929176714E}');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteRepair(13);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk"        -> ["C:\ProgramData\NnXPehsoI\QgLPxIZx5.bat"]
>>>  "C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk"        -> ["C:\ProgramData\NnXPehsoI\QgLPxIZx5.bat"]
>>>  "C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk"   -> ["C:\ProgramData\NnXPehsoI\QgLPxIZx5.bat"]
>>>  "C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.12 1707.lnk"     -> ["C:\ProgramData\wAGXApEObO\KFMqKeTb2.bat"]
>>>  "C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk"       -> ["C:\ProgramData\VkUdHQFn\kJyjIfE0.bat"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HASP License Manager\HASP License Manager Help.lnk"           -> ["C:\Program Files (x86)\Aladdin\HASP LM\nhsrvw32.hlp"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HASP License Manager\HASP License Manager.lnk"      -> ["C:\Program Files (x86)\Aladdin\HASP LM\nhsrvw32.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1C Предприятие 8.1\HASP License Manager Help.lnk"   -> ["C:\Program Files (x86)\Aladdin\HASP LM\nhsrvw32.hlp"]
>>>  "C:\Users\Администратор\Desktop\заказать печать\образец штампа.lnk"         -> ["D:\ГБУ ЖИЛИЩНИК\ГБУ ЖИЛИЩНИК\ФАКСОГРАММЫ\Глав. контрольное управление\Прилепский\образец штампа.pdf"]
>>>  "C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ConsultantPlus\Консультант+.lnk"      -> ["D:\Консультант Элкод\cons.exe"]
>>>  "C:\Users\Public\Desktop\Приобретение расходных материалов HP.lnk"          -> ["C:\Program Files (x86)\HP\hpqSSupply.exe"]
>>>  "C:\Users\Public\Desktop\Скачать Ammyy_Admin.lnk"       -> ["C:\Users\Public\AppData\Local\Temp\Rar$EXa0.721\Ammyy_Admin.exe"  =>> -sprunfromlink]
>>>  "C:\Users\Администратор\Desktop\Kadry - Ярлык.lnk"      -> ["C:\Kadry.exe"]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://smartsputnik.ru/?ri=1&uid=e58e3dbea5161bff21f3c436dad5d9e9&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://smartsputnik.ru/?ri=1&uid=e58e3dbea5161bff21f3c436dad5d9e9&q={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [CustomizeSearch] = http://smartsputnik.ru/?ri=1&uid=e58e3dbea5161bff21f3c436dad5d9e9&q=
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://smartsputnik.ru/?ri=1&uid=e58e3dbea5161bff21f3c436dad5d9e9&q=
O2 - HKLM\..\BHO: TrustMediaViewerV1alpha5818 - {ceaa1cfc-57af-499d-b729-e88aa9de4c17} - (no file)
O22 - Task (Job): AlterGeoUpdater-S-1-5-18.job - C:\Program Files (x86)\AlterGeo\Html5 geolocation provider\html5locsvc.exe /task
O22 - Task: (disabled) AlterGeoUpdater-S-1-5-18 - C:\Program Files (x86)\AlterGeo\Html5 geolocation provider\html5locsvc.exe /task

Сделайте лог Malwarebytes AdwCleaner.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.