Технический форум
Вернуться   Технический форум > Компьютерный форум > Форум по вирусам и антивирусам > Безопасность


Ответ
 
Опции темы Опции просмотра
Старый 25.02.2021, 18:53   #1 (permalink)
marat1976
Новичок
 
Регистрация: 25.02.2021
Сообщений: 4
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
По умолчанию Win32/Exploit.CVE-2017-0147.A

Здравствуйте уважаемые форумчане.

Уже как месяц на рабочем компе, антивирусник ESET EndPoint 5.0.2214.7 находит вирус: Имя объекта С:\Windows\mssecsvr.exe. Причина: Win32/exploit.CVE-2017-0147.A.
Очистил карантин. Произвел полное сканирование компа.
Вирус обнаруживается вновь, регулярно в сутки 2-3 раза.
Компьютер имеет две сетевые подключения: первый корпоративная сеть ( который имеет выход в интернет для авторизованных пользователей). Вторая сеть местная локальная сеть с подключением десяти пользователей.
Компьютер общий, рабочий. Возможно кто то занес этот вирус.
Прогонка через Dr WEB Cureit, не помогло. Лог avz4 прилагаю.


Тип компьютера ACPI x64-based PC
Операционная система Microsoft Windows 7 Ultimate
Пакет обновления ОС Service Pack 1
Internet Explorer 9.10.9200.16521
DirectX DirectX 11.0

Системная плата:
Тип ЦП DualCore Intel Core 2 Duo E7400, 2800 MHz (10.5 x 267)
Системная плата Dell OptiPlex 760
Чипсет системной платы Intel Eaglelake Q43
Системная память 3931 МБ
Тип BIOS Phoenix (04/29/09)
Вложения
Тип файла: zip virusinfo_syscheck.zip (39.6 Кб, 12 просмотров)
marat1976 вне форума   Ответить с цитированием

Старый 25.02.2021, 18:53
Helpmaster
Member
 
Аватар для Helpmaster
 
Регистрация: 08.03.2016
Сообщений: 0

Подскажу вам, что просмотр похожих тем является очень эффективным методом решения проблемы

Вирус Win32/Exploit.CVE-2017-0147.A
Explorer.exe и Exploit
LNK/Exploit
DCOM Exploit

Старый 25.02.2021, 19:19   #2 (permalink)
Vladimir_S
Специалист
 
Регистрация: 27.08.2008
Адрес: Санкт-Петербург
Сообщений: 27,807
Сказал(а) спасибо: 340
Поблагодарили 583 раз(а) в 208 сообщениях
Репутация: 113184
По умолчанию

Уважаемый Марат, помощь Вы получите ТОЛЬКО после того, как вот эти инструкции будут Вами выполнены В ПОЛНОМ ОБЪЁМЕ.
Vladimir_S вне форума   Ответить с цитированием
Старый 25.02.2021, 20:37   #3 (permalink)
marat1976
Новичок
 
Регистрация: 25.02.2021
Сообщений: 4
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
По умолчанию

спасибо, Владимир за помощ.
Компьютер являеться рабочим, мне не позволят снять логи с помощью uVS.
Будем ждать, что произойдет дальше. Пока Eset ловит зловреды.
Сейчас в данный момент сканирую в безопасном режиме с помощью Dr.Web CureIt
marat1976 вне форума   Ответить с цитированием
Старый 25.02.2021, 21:34   #4 (permalink)
Vvvyg
Member
 
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,825
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
По умолчанию

marat1976, предварительно.

Цитата:
Внимание !!! База поcледний раз обновлялась 01.03.2016 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Хотя бы базы обновляйте, раз уж AVZ использовали.

Кроме древней версии Eset видно хвосты от Avast, если нет возможности деинсталлировать штатно, рекомендую удалить остатки утилитой aswclear.exe в безопасном режиме. Два антивируса - это не двойная защита, а наоборот.

Знаете, что это?
Код:
C:\Program Files (x86)\youdu\client\loader.exe
В любом случае, проверьте на virustotal.com и дайте ссылку на результат.

Цитата:
Обратите внимание: в настройках IE задан прокси-сервер S-1-5-21-517984132-3557692192-877629012-1000\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings, ProxyServer="127.0.0.1:1080"
Знаете, зачем прокси на локалхосте?

Ну и сам факт, что антивирус постоянно находит Win32/exploit.CVE-2017-0147.A. означает, что система у вас с начала 2017-года минимум не обновлялась, и нужно установить, как минимум, KB4012212, иначе так и будете долбимы эксплоитом, антивирус только последствия устраняет, а не причину.
Ну и ещё это означает, что в локальной сети есть источник[и] заразы, либо открыт доступ к компьютеру снаружи.
Vvvyg вне форума   Ответить с цитированием
Старый 26.02.2021, 06:49   #5 (permalink)
marat1976
Новичок
 
Регистрация: 25.02.2021
Сообщений: 4
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
По умолчанию Vvvyg спасибо за совет

Vvvyg спасибо
Древнюю версию Eset используем потому что она доступна и не грузит наш древний комп.
Остатки Avast-это то что осталось от прошлого принудительного удаления с помощью aswcleaner ( сам он не хотел удаляться. Много проблем у нас было с этим Авастом) Попытаюсь удалить хвосты вручную.

Yodo эта наша рабочая программа используемая для свзязи.

KB4012212 - это я как понял надо обновить Widows 7, вопрос: а щас это возможно, ведь Майкрософт прекратил поддержку семерки.

Про локалхост на IE, это мне надо посмотреть в настройках подключения IE ? и отключить все это
Кстати: вчера с помощью Dr Web Cureit в безопасном режиме просканировал комп. Сканер нашел что то связанное C: Tencent\ QQ\ iobirdownloader. Удалил
Пока вирус себя не проявляет.
marat1976 вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Старый 26.02.2021, 07:36   #6 (permalink)
prima
Member
 
Регистрация: 31.08.2015
Сообщений: 19,409
Сказал(а) спасибо: 283
Поблагодарили 213 раз(а) в 96 сообщениях
Репутация: 80829
По умолчанию

Цитата:
Сообщение от marat1976 Посмотреть сообщение
KB4012212 - это я как понял надо обновить Widows 7
Поищи unofficial service pack windows 7.
__________________
Пожалуйста не предлагайте мне дружбу. Не хочу отказывать, но у меня другие понятия, поэтому просто не отвечу.
prima вне форума   Ответить с цитированием
Старый 26.02.2021, 08:44   #7 (permalink)
Vvvyg
Member
 
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,825
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
По умолчанию

Цитата:
Сообщение от marat1976 Посмотреть сообщение
KB4012212 - это я как понял надо обновить Widows 7, вопрос: а щас это возможно, ведь Майкрософт прекратил поддержку семерки.
Тем не менее, прекрасно обновляется, просто год уже не выходят новые обновления. Стоит обновить по полной, через автоматическое обновление, или с помощью Набора обновлений UpdatePack7R2 для Windows 7 SP1 и Server 2008 R2 SP1 - там есть критический фикс от уязвимости Zerologon, который через автоматическое обновление для Windows 7 не распространяется.

aswcleaner нужно применять только в безопасном режиме, в системе драйвера остались от Avast.

Давайте такие логи.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Vvvyg вне форума   Ответить с цитированием
Старый 27.02.2021, 13:03   #8 (permalink)
marat1976
Новичок
 
Регистрация: 25.02.2021
Сообщений: 4
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
По умолчанию Спасибо всем за помощь!

Отписываюсь о проделанной работе!

Друг удаленно посмотрел наш комп, и проделали следующие операции:

1. Отключили Internet Explorer через Панель Управления.( видимо все таки есть уязвимомсть, о которой писал vvvyg.).
2. В папке Widows/system 32 нашли файл mssecsvr.exe.dump....( расширение точно не помню) и удалили. Также в реестре удалили одну запись связанный с этим файлом.
3. Дополнительно aswcleaner-ом подчистил хвосты от аваст в безопасном режиме.

Пока все чисто, и антивирус не находит этот вирус.
Еще раз спасибо, всем!
marat1976 вне форума   Ответить с цитированием
Старый 27.02.2021, 14:38   #9 (permalink)
Vvvyg
Member
 
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,825
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
По умолчанию

Без установки обновления. о котором писал выше, проблему не решить, отключение IE совсем не в тему, имейте ввиду.
Vvvyg вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Ответ

Метки
win32/exploit.cv

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.




Часовой пояс GMT +4, время: 13:06.

Powered by vBulletin® Version 6.2.5.
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.