Сетевая атака Intrusion.Win.MS17-010.o

[Рахима Турдиева]

Добрый вечер!

 

Стоит Kaspersky Antivirus Free, после не давнего обновления на 19 версию, стал ругаться на какую-то сетевую атаку Intrusion.Win.MS17-010.o на порт 445. Вирусов точно нет, по не понятным сайтам не лазю, на 18 версии не было такого, скорей всего ругается на какую-то сетевую программу типа Hamachi, потому что играю по сетке в игры. Патч MS17-010 ставил, не помогает. Подскажите как узнать на что именно ругается антивирь и как это добавить в исключения.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Рахима Турдиева]

Прикрепляю логи:

CollectionLog-2018.12.21-18.20.zip

[regist]

1)

Игровой центр [2017/02/10 15:41:00]-->"C:\Users\Остап\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe" -uninstall

деинсталируйте.

2) Удалите остатки avast.

3) "Пофиксите" в HijackThis:

O4 - MSConfig\startupfolder: C:^Users^Остап^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^julapan.lnk [backup] => C:\Program Files (x86)\ESI\Juli@ PCI Driver\x64\julapan.exe (2018/10/10) (file missing)
O22 - Task (.job): (Ready) Update Service for Youtube AdBlock.job - C:\Program Files (x86)\Youtube AdBlock\bLfaC5u.exe (file missing)
O22 - Task (.job): (Ready) Update Service for Youtube AdBlock2.job - C:\Program Files (x86)\Youtube AdBlock\bLfaC5u.exe (file missing)
O22 - Task: (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing)
O22 - Task: ComDev - C:\Users\Остап\AppData\Local\ComDev\ComDev.exe --stid="14712" (file missing)
O22 - Task: Manifest Additional Helper - C:\Users\Остап\AppData\Local\Manifest Additional Helper.exe S (file missing)
O22 - Task: Render Render Helper - C:\Program Files (x86)\ScreenUp\future_helper.exe (file missing)
O22 - Task: Request Command Helper - C:\Users\Остап\AppData\Local\FilterStart\FilterStart.exe (file missing)
O22 - Task: SearchGo Task - C:\Users\Остап\AppData\Local\SearchGo\searchgo.exe (file missing)
O22 - Task: Update Service for Youtube AdBlock - C:\Program Files (x86)\Youtube AdBlock\bLfaC5u.exe (file missing)
O22 - Task: Update Service for Youtube AdBlock2 - C:\Program Files (x86)\Youtube AdBlock\bLfaC5u.exe (file missing)
O22 - Task: fupdate - C:\Users\Остап\AppData\Local\fupdate\fupdate.exe (file missing)
O22 - Task: svshost - C:\Users\Остап\AppData\Local\svshost\svshost.exe --stid="14712" (file missing)
O23 - Service S3: klvssbridge64_18.0.0 - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 18.0.0\x64\vssbridge64.exe  (file missing)

 

4)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
• Прикрепите отчет к своему следующему сообщению.

 

5) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

[Рахима Турдиева]

3) "Пофиксите" в HijackThis:

 

Что-то ни одного пункта не нашёл. Скачал отдельно эту утилиту, прилагаю логи.

hijackthis.log

4) Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt. Прикрепите отчет к своему следующему сообщению.

 

AdwCleanerS00.txt

hijackthis.log

Изменено 21 декабря, 2018 пользователем Рахима Турдиева

[regist]

 

 

Что-то ни одного пункта не нашёл.

потому что невнимательно читаете.

 

 

Скачал отдельно эту утилиту,

а разве вас кто-то просил скачивать? Всё что нужно уже находится в каталоге с Автологером. А вы скачали версию пятнадцатилетней давности и пытаетесь в ней искать.

Прочтите внимательно инструкцию, ссылка выше. Там всё расписано и сделайте как положено.

[Рахима Турдиева]

а разве вас кто-то просил скачивать? Всё что нужно уже находится в каталоге с Автологером. А вы скачали версию пятнадцатилетней давности и пытаетесь в ней искать.

Извините не знал. А что на официальном сайте она не обновляется? Но всё равно несколько пунктов не нашло, наверное их удалил AdwCleaner, и действительно прошёлся по путям этих файлов, их там нет.

Вот эти пункты:

O22 - Task (.job): (Ready) Update Service for Youtube AdBlock.job - C:\Program Files (x86)\Youtube AdBlock\bLfaC5u.exe (file missing)
O22 - Task (.job): (Ready) Update Service for Youtube AdBlock2.job - C:\Program Files (x86)\Youtube AdBlock\bLfaC5u.exe (file missing)
O22 - Task: SearchGo Task - C:\Users\Остап\AppData\Local\SearchGo\searchgo.exe (file missing)
O22 - Task: Update Service for Youtube AdBlock - C:\Program Files (x86)\Youtube AdBlock\bLfaC5u.exe (file missing)
O22 - Task: Update Service for Youtube AdBlock2 - C:\Program Files (x86)\Youtube AdBlock\bLfaC5u.exe (file missing)
O22 - Task: fupdate - C:\Users\Остап\AppData\Local\fupdate\fupdate.exe (file missing)

Остальные пункты пофиксил, GameCenter@Mail.Ru удалил, остатки avast почистил, AdwCleaner запускал, он всё просканировал и удалил. Еле загрузил от AVZ базу, скорость отдачи маленькая, на avz.safezone.cc постоянно сбрасывалось, пришлось на Яндекс.Диск грузить.

Вот ссылка: https://yadi.sk/d/SizhpszDBB-nVg

Всё равно после чистки AdwCleaner-ом и HijackThis идёт это же сетевая атака.

Изменено 21 декабря, 2018 пользователем Рахима Турдиева

[regist]

Извините не знал. А что на официальном сайте она не обновляется?

вот справка, там сверху есть ответы на ваши вопросы, а также ссылки на оф. сайт.

AdwCleaner запускал, он всё просканировал и удалил.

лог очистки покажите или хотя бы лог свежего сканирования.

SaveFrom.net helper в лисе не сами ставили?

 

+ свежий лог Автологера.

[Рахима Турдиева]

SaveFrom.net helper в лисе не сами ставили?

 

Сам, но оно как-то странно установилось, в дополнениях её нет и само расширение не работает.

 

лог очистки покажите или хотя бы лог свежего сканирования.+ свежий лог Автологера.

 

AdwCleanerS01.txt

CollectionLog-2018.12.21-23.47.zip

[regist]

>>>  "C:\Users\Остап\Favorites\Links\Интернет.url"  ->      hxxp://tsesato.ru/?utm_source=favorites03&utm_content=f046790f21831bfb14cf435a96d673fd&utm_term=8C80746F9AA55061FF6A3F4B63426E33&utm_d=20170211

удалите этот ярлык вручную.

В остальном порядок.

 

 

скорей всего ругается на какую-то сетевую программу типа Hamachi, потому что играю по сетке в игры.

на оф. форуме видел подобную тему, где пользователь тоже жаловался на ложные срабатывание в домашнем продукте, но сейчас не смог её найти.

Можете ещё создать тему в разделе Помощь по продуктам Лаборатории Касперского  и спросить там.

 

+

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

 

Выполните рекомендации после лечения.

 

[Рахима Турдиева]

 

 

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Одну уязвимость нашёл:

Поиск критических уязвимостей
Уязвимость в MSXML делает возможным удаленное выполнение кода
https://www.microsoft.com/downloads/details.aspx?FamilyID=7dabf372-4b31-4c9e-a660-4e0f4a65db04
Запускайте обновление от имени Администратора

Обнаружено уязвимостей: 1