Перейти к содержимому


Фотография
- - - - -

[РЕШЕНО] Сетевая атака Intrusion.Win.MS17-010.o

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Закрытая тема Тема закрыта
Сообщений в теме: 16

#1 OFF   da_serg

da_serg

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 23 Апрель 2019 - 21:39

Стоял Avast, стало появляться всплывающее окно с описанием проблемы и предложением купить проф версию.

Снесен, установлен Касперский Фри. Сделана проверка Dr.Web. С интервалом 2-7 минут всплывающее окно с вышеуказанной проблемой.

Проверки авастом, касперским и вебом ничего, кроме аммиадмина не нашли.


  • 0

#2 OFF   Mark D. Pearlstone

Mark D. Pearlstone

    Assistant

  • Супер-модераторы
  • Совет фан-клуба
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 21 565

Награды

           

Отправлено 23 Апрель 2019 - 21:42

Порядок оформления запроса о помощи


  • 0

#3 OFF   da_serg

da_serg

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 24 Апрель 2019 - 07:55

Прошу прощения, файл выбрал и не нажал загрузить.

Прикрепленные файлы


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 786

Отправлено 24 Апрель 2019 - 08:14

Здравствуйте!

"Пофиксите" в HijackThis:
O4 - MSConfig\startupreg: Avira SystrayStartTrigger [command] = C:\Program Files\Avira\Launcher\Avira.SystrayStartTrigger.exe (HKLM) (2019/02/24) (file missing)
O4 - MSConfig\startupreg: Buhphone [command] = C:\Users\admin\Documents\Buhphone\Buhphone.exe (HKCU) (2015/06/18) (file missing)
O9 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)
O22 - Task: \Avast Software\Overseer - C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe /from_scheduler:1
O22 - Task: {D1154AC6-C41F-4F0A-9007-45BF652F5F84} - C:\Windows\system32\pcalua.exe -a "C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NV41AVFP\JavaSetup8u101.exe" -d C:\Users\admin\Desktop
Затем:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

  • 0
Изображение

#5 OFF   da_serg

da_serg

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 24 Апрель 2019 - 16:47

Лог

Прикрепленные файлы


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 786

Отправлено 24 Апрель 2019 - 16:50

всплывающее окно с описанием проблемы

Сейчас ничего подобного нет?

Исправьте:
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.19326
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
OpenOffice 4.1.0 v.4.10.9764 Внимание! Скачать обновления
  • 0
Изображение

#7 OFF   da_serg

da_serg

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 24 Апрель 2019 - 21:27

IE сделаю

Брандмауэр не могу - блочит работу прог в локалке

Опен офис сделаю

 

Как выглядит проблема - скрин в прицепе

Прикрепленные файлы


  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 786

Отправлено 25 Апрель 2019 - 08:15

В локальной сети один этот компьютер или несколько?
  • 0
Изображение

#9 OFF   da_serg

da_serg

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 25 Апрель 2019 - 08:44

Два компьютера. Интернет ADSL, при выдергивании телефонного кабеля из роутера проблемы нет.

Второй подключен через расшаренное подключение, ОС Windows Embedded Standart SP1.


  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 786

Отправлено 25 Апрель 2019 - 08:47

Отключите от сети только второй компьютер и проверьте.
  • 0
Изображение

#11 OFF   da_serg

da_serg

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 25 Апрель 2019 - 09:20

Попробую, только ночью. На первом сегодня проблема:

"Не удается найти исполняющего ядра "VBScript" для сценария

"C:\User\admin\AppData\Local\Temp\OEgetPrivileges.vbs"

После вчерашнего Win+R ввести UserAccountControlSettings и Enter^


  • 0

#12 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 786

Отправлено 25 Апрель 2019 - 09:25

C:\User\admin\AppData\Local\Temp\OEgetPrivileges.vbs

Этот файл упакуйте в архив и прикрепите к следующему сообщению.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#13 OFF   da_serg

da_serg

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 25 Апрель 2019 - 11:40

Проблема "Не удается найти исполняющего ядра "VBScript" для сценария" после возвращения

UserAccountControlSettings  в исходное состояние не возникает. Появлялась при попытке запуска

легального ПО, находящегося по адресу C:/UTM, с помощью bat файла с рабочего стола.

 

Запрошенные файлы добавлены.

Прикрепленные файлы


  • 0

#14 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 786

Отправлено 25 Апрель 2019 - 11:54

после возвращения UserAccountControlSettings  в исходное состояние не возникает

IMHO - это ошибка самой программы.

Выполните следующее:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {2BD05BA6-988D-4BD3-A9CD-9A39F80AF524} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> No File <==== ATTENTION
    Task: {5B184694-64C3-4633-94C5-945B3FA561D6} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> No File <==== ATTENTION
    Task: {9F54B95F-5096-4803-AE61-E9B3AC5B616D} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> No File <==== ATTENTION
    Task: {D21F6024-191F-4454-BBBC-09A650DA2549} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
    FF Extension: (Avira Browser Safety) - C:\Users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\TzPlu3U8.default\Extensions\abs@avira.com [2015-02-16] [Legacy] [not signed]
    C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\flliilndjeohchalpbbcdekjklbdgfkk
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
  • 0
Изображение

#15 OFF   da_serg

da_serg

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 26 Апрель 2019 - 13:03

Отключите от сети только второй компьютер и проверьте.

Проверил. С отключенным вторым ПК проблема осталась.

Тему подвешиваю. Интернет через ADSL модем, настроен мостом.

Выберу время, перенастрою роутером, потом буду продолжать.

ПК удаленный, после перезагрузки не восстанавливает связь. 


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных