25.02.2021, 18:53 | #1 (permalink) |
Новичок
Регистрация: 25.02.2021
Сообщений: 4
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
Win32/Exploit.CVE-2017-0147.A
Уже как месяц на рабочем компе, антивирусник ESET EndPoint 5.0.2214.7 находит вирус: Имя объекта С:\Windows\mssecsvr.exe. Причина: Win32/exploit.CVE-2017-0147.A. Очистил карантин. Произвел полное сканирование компа. Вирус обнаруживается вновь, регулярно в сутки 2-3 раза. Компьютер имеет две сетевые подключения: первый корпоративная сеть ( который имеет выход в интернет для авторизованных пользователей). Вторая сеть местная локальная сеть с подключением десяти пользователей. Компьютер общий, рабочий. Возможно кто то занес этот вирус. Прогонка через Dr WEB Cureit, не помогло. Лог avz4 прилагаю. Тип компьютера ACPI x64-based PC Операционная система Microsoft Windows 7 Ultimate Пакет обновления ОС Service Pack 1 Internet Explorer 9.10.9200.16521 DirectX DirectX 11.0 Системная плата: Тип ЦП DualCore Intel Core 2 Duo E7400, 2800 MHz (10.5 x 267) Системная плата Dell OptiPlex 760 Чипсет системной платы Intel Eaglelake Q43 Системная память 3931 МБ Тип BIOS Phoenix (04/29/09) |
25.02.2021, 18:53 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Подскажу вам, что просмотр похожих тем является очень эффективным методом решения проблемы Вирус Win32/Exploit.CVE-2017-0147.A Explorer.exe и Exploit LNK/Exploit DCOM Exploit |
25.02.2021, 19:19 | #2 (permalink) |
Специалист
Регистрация: 27.08.2008
Адрес: Санкт-Петербург
Сообщений: 27,807
Сказал(а) спасибо: 340
Поблагодарили 583 раз(а) в 208 сообщениях
Репутация: 113184
|
Уважаемый Марат, помощь Вы получите ТОЛЬКО после того, как вот эти инструкции будут Вами выполнены В ПОЛНОМ ОБЪЁМЕ.
|
25.02.2021, 20:37 | #3 (permalink) |
Новичок
Регистрация: 25.02.2021
Сообщений: 4
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
спасибо, Владимир за помощ.
Компьютер являеться рабочим, мне не позволят снять логи с помощью uVS. Будем ждать, что произойдет дальше. Пока Eset ловит зловреды. Сейчас в данный момент сканирую в безопасном режиме с помощью Dr.Web CureIt |
25.02.2021, 21:34 | #4 (permalink) | ||
Member
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,830
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
|
marat1976, предварительно.
Цитата:
Кроме древней версии Eset видно хвосты от Avast, если нет возможности деинсталлировать штатно, рекомендую удалить остатки утилитой aswclear.exe в безопасном режиме. Два антивируса - это не двойная защита, а наоборот. Знаете, что это? Код:
C:\Program Files (x86)\youdu\client\loader.exe Цитата:
Ну и сам факт, что антивирус постоянно находит Win32/exploit.CVE-2017-0147.A. означает, что система у вас с начала 2017-года минимум не обновлялась, и нужно установить, как минимум, KB4012212, иначе так и будете долбимы эксплоитом, антивирус только последствия устраняет, а не причину. Ну и ещё это означает, что в локальной сети есть источник[и] заразы, либо открыт доступ к компьютеру снаружи. |
||
26.02.2021, 06:49 | #5 (permalink) |
Новичок
Регистрация: 25.02.2021
Сообщений: 4
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
Vvvyg спасибо за совет
Vvvyg спасибо
Древнюю версию Eset используем потому что она доступна и не грузит наш древний комп. Остатки Avast-это то что осталось от прошлого принудительного удаления с помощью aswcleaner ( сам он не хотел удаляться. Много проблем у нас было с этим Авастом) Попытаюсь удалить хвосты вручную. Yodo эта наша рабочая программа используемая для свзязи. KB4012212 - это я как понял надо обновить Widows 7, вопрос: а щас это возможно, ведь Майкрософт прекратил поддержку семерки. Про локалхост на IE, это мне надо посмотреть в настройках подключения IE ? и отключить все это Кстати: вчера с помощью Dr Web Cureit в безопасном режиме просканировал комп. Сканер нашел что то связанное C: Tencent\ QQ\ iobirdownloader. Удалил Пока вирус себя не проявляет. |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
26.02.2021, 07:36 | #6 (permalink) |
Member
Регистрация: 31.08.2015
Сообщений: 19,435
Сказал(а) спасибо: 283
Поблагодарили 213 раз(а) в 96 сообщениях
Репутация: 80884
|
Поищи unofficial service pack windows 7.
__________________
Пожалуйста не предлагайте мне дружбу. Не хочу отказывать, но у меня другие понятия, поэтому просто не отвечу. |
26.02.2021, 08:44 | #7 (permalink) | |
Member
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,830
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
|
Цитата:
aswcleaner нужно применять только в безопасном режиме, в системе драйвера остались от Avast. Давайте такие логи. Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве). |
|
27.02.2021, 13:03 | #8 (permalink) |
Новичок
Регистрация: 25.02.2021
Сообщений: 4
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
Спасибо всем за помощь!
Отписываюсь о проделанной работе!
Друг удаленно посмотрел наш комп, и проделали следующие операции: 1. Отключили Internet Explorer через Панель Управления.( видимо все таки есть уязвимомсть, о которой писал vvvyg.). 2. В папке Widows/system 32 нашли файл mssecsvr.exe.dump....( расширение точно не помню) и удалили. Также в реестре удалили одну запись связанный с этим файлом. 3. Дополнительно aswcleaner-ом подчистил хвосты от аваст в безопасном режиме. Пока все чисто, и антивирус не находит этот вирус. Еще раз спасибо, всем! |
27.02.2021, 14:38 | #9 (permalink) |
Member
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,830
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
|
Без установки обновления. о котором писал выше, проблему не решить, отключение IE совсем не в тему, имейте ввиду.
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
Метки |
win32/exploit.cv |
|
|