Технический форум

Технический форум (http://www.tehnari.ru/)
-   Безопасность (http://www.tehnari.ru/f35/)
-   -   Win32/Exploit.CVE-2017-0147.A (http://www.tehnari.ru/f35/t270775/)

marat1976 25.02.2021 18:53
Win32/Exploit.CVE-2017-0147.A
 
Вложений: 1
Здравствуйте уважаемые форумчане.

Уже как месяц на рабочем компе, антивирусник ESET EndPoint 5.0.2214.7 находит вирус: Имя объекта С:\Windows\mssecsvr.exe. Причина: Win32/exploit.CVE-2017-0147.A.
Очистил карантин. Произвел полное сканирование компа.
Вирус обнаруживается вновь, регулярно в сутки 2-3 раза.
Компьютер имеет две сетевые подключения: первый корпоративная сеть ( который имеет выход в интернет для авторизованных пользователей). Вторая сеть местная локальная сеть с подключением десяти пользователей.
Компьютер общий, рабочий. Возможно кто то занес этот вирус.
Прогонка через Dr WEB Cureit, не помогло. Лог avz4 прилагаю.


Тип компьютера ACPI x64-based PC
Операционная система Microsoft Windows 7 Ultimate
Пакет обновления ОС Service Pack 1
Internet Explorer 9.10.9200.16521
DirectX DirectX 11.0

Системная плата:
Тип ЦП DualCore Intel Core 2 Duo E7400, 2800 MHz (10.5 x 267)
Системная плата Dell OptiPlex 760
Чипсет системной платы Intel Eaglelake Q43
Системная память 3931 МБ
Тип BIOS Phoenix (04/29/09)

Vladimir_S 25.02.2021 19:19
Уважаемый Марат, помощь Вы получите ТОЛЬКО после того, как вот эти инструкции будут Вами выполнены В ПОЛНОМ ОБЪЁМЕ.

marat1976 25.02.2021 20:37
спасибо, Владимир за помощ.
Компьютер являеться рабочим, мне не позволят снять логи с помощью uVS.
Будем ждать, что произойдет дальше. Пока Eset ловит зловреды.
Сейчас в данный момент сканирую в безопасном режиме с помощью Dr.Web CureIt

Vvvyg 25.02.2021 21:34
marat1976, предварительно.

Цитата:
Внимание !!! База поcледний раз обновлялась 01.03.2016 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Хотя бы базы обновляйте, раз уж AVZ использовали.

Кроме древней версии Eset видно хвосты от Avast, если нет возможности деинсталлировать штатно, рекомендую удалить остатки утилитой aswclear.exe в безопасном режиме. Два антивируса - это не двойная защита, а наоборот.

Знаете, что это?
Код:
C:\Program Files (x86)\youdu\client\loader.exe
В любом случае, проверьте на virustotal.com и дайте ссылку на результат.

Цитата:
Обратите внимание: в настройках IE задан прокси-сервер S-1-5-21-517984132-3557692192-877629012-1000\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings, ProxyServer="127.0.0.1:1080"
Знаете, зачем прокси на локалхосте?

Ну и сам факт, что антивирус постоянно находит Win32/exploit.CVE-2017-0147.A. означает, что система у вас с начала 2017-года минимум не обновлялась, и нужно установить, как минимум, KB4012212, иначе так и будете долбимы эксплоитом, антивирус только последствия устраняет, а не причину.
Ну и ещё это означает, что в локальной сети есть источник[и] заразы, либо открыт доступ к компьютеру снаружи.

marat1976 26.02.2021 06:49
Vvvyg спасибо за совет
 
Vvvyg спасибо
Древнюю версию Eset используем потому что она доступна и не грузит наш древний комп.
Остатки Avast-это то что осталось от прошлого принудительного удаления с помощью aswcleaner ( сам он не хотел удаляться. Много проблем у нас было с этим Авастом) Попытаюсь удалить хвосты вручную.

Yodo эта наша рабочая программа используемая для свзязи.

KB4012212 - это я как понял надо обновить Widows 7, вопрос: а щас это возможно, ведь Майкрософт прекратил поддержку семерки.

Про локалхост на IE, это мне надо посмотреть в настройках подключения IE ? и отключить все это
Кстати: вчера с помощью Dr Web Cureit в безопасном режиме просканировал комп. Сканер нашел что то связанное C: Tencent\ QQ\ iobirdownloader. Удалил
Пока вирус себя не проявляет.

prima 26.02.2021 07:36
Цитата:
Сообщение от marat1976 (Сообщение 2746392)
KB4012212 - это я как понял надо обновить Widows 7
Поищи unofficial service pack windows 7.

Vvvyg 26.02.2021 08:44
Цитата:
Сообщение от marat1976 (Сообщение 2746392)
KB4012212 - это я как понял надо обновить Widows 7, вопрос: а щас это возможно, ведь Майкрософт прекратил поддержку семерки.
Тем не менее, прекрасно обновляется, просто год уже не выходят новые обновления. Стоит обновить по полной, через автоматическое обновление, или с помощью Набора обновлений UpdatePack7R2 для Windows 7 SP1 и Server 2008 R2 SP1 - там есть критический фикс от уязвимости Zerologon, который через автоматическое обновление для Windows 7 не распространяется.

aswcleaner нужно применять только в безопасном режиме, в системе драйвера остались от Avast.

Давайте такие логи.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

marat1976 27.02.2021 13:03
Спасибо всем за помощь!
 
Отписываюсь о проделанной работе!

Друг удаленно посмотрел наш комп, и проделали следующие операции:

1. Отключили Internet Explorer через Панель Управления.( видимо все таки есть уязвимомсть, о которой писал vvvyg.).
2. В папке Widows/system 32 нашли файл mssecsvr.exe.dump....( расширение точно не помню) и удалили. Также в реестре удалили одну запись связанный с этим файлом.
3. Дополнительно aswcleaner-ом подчистил хвосты от аваст в безопасном режиме.

Пока все чисто, и антивирус не находит этот вирус.
Еще раз спасибо, всем!

Vvvyg 27.02.2021 14:38
Без установки обновления. о котором писал выше, проблему не решить, отключение IE совсем не в тему, имейте ввиду.


Часовой пояс GMT +4, время: 23:40.

Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.