Перейти к содержанию

Сетевая атака Intrusion.Win.MS17-010.o


Рахима Турдиева

Рекомендуемые сообщения

Добрый вечер!

 

Стоит Kaspersky Antivirus Free, после не давнего обновления на 19 версию, стал ругаться на какую-то сетевую атаку Intrusion.Win.MS17-010.o на порт 445. Вирусов точно нет, по не понятным сайтам не лазю, на 18 версии не было такого, скорей всего ругается на какую-то сетевую программу типа Hamachi, потому что играю по сетке в игры. Патч MS17-010 ставил, не помогает. Подскажите как узнать на что именно ругается антивирь и как это добавить в исключения.

Ссылка на комментарий
Поделиться на другие сайты

1)

Игровой центр [2017/02/10 15:41:00]-->"C:\Users\Остап\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe" -uninstall

деинсталируйте.

2) Удалите остатки avast.

3) "Пофиксите" в HijackThis:

O4 - MSConfig\startupfolder: C:^Users^Остап^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^julapan.lnk [backup] => C:\Program Files (x86)\ESI\Juli@ PCI Driver\x64\julapan.exe (2018/10/10) (file missing)
O22 - Task (.job): (Ready) Update Service for Youtube AdBlock.job - C:\Program Files (x86)\Youtube AdBlock\bLfaC5u.exe (file missing)
O22 - Task (.job): (Ready) Update Service for Youtube AdBlock2.job - C:\Program Files (x86)\Youtube AdBlock\bLfaC5u.exe (file missing)
O22 - Task: (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing)
O22 - Task: ComDev - C:\Users\Остап\AppData\Local\ComDev\ComDev.exe --stid="14712" (file missing)
O22 - Task: Manifest Additional Helper - C:\Users\Остап\AppData\Local\Manifest Additional Helper.exe S (file missing)
O22 - Task: Render Render Helper - C:\Program Files (x86)\ScreenUp\future_helper.exe (file missing)
O22 - Task: Request Command Helper - C:\Users\Остап\AppData\Local\FilterStart\FilterStart.exe (file missing)
O22 - Task: SearchGo Task - C:\Users\Остап\AppData\Local\SearchGo\searchgo.exe (file missing)
O22 - Task: Update Service for Youtube AdBlock - C:\Program Files (x86)\Youtube AdBlock\bLfaC5u.exe (file missing)
O22 - Task: Update Service for Youtube AdBlock2 - C:\Program Files (x86)\Youtube AdBlock\bLfaC5u.exe (file missing)
O22 - Task: fupdate - C:\Users\Остап\AppData\Local\fupdate\fupdate.exe (file missing)
O22 - Task: svshost - C:\Users\Остап\AppData\Local\svshost\svshost.exe --stid="14712" (file missing)
O23 - Service S3: klvssbridge64_18.0.0 - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 18.0.0\x64\vssbridge64.exe  (file missing)

 

4)

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
  • Прикрепите отчет к своему следующему сообщению.


 


5) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


 

Ссылка на комментарий
Поделиться на другие сайты

3) "Пофиксите" в HijackThis:

 

Что-то ни одного пункта не нашёл. Скачал отдельно эту утилиту, прилагаю логи.

hijackthis.log

4) Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt. Прикрепите отчет к своему следующему сообщению.

 

AdwCleanerS00.txt

hijackthis.log

Изменено пользователем Рахима Турдиева
Ссылка на комментарий
Поделиться на другие сайты

 

 


Что-то ни одного пункта не нашёл.
потому что невнимательно читаете.

 

 


Скачал отдельно эту утилиту,
а разве вас кто-то просил скачивать? Всё что нужно уже находится в каталоге с Автологером. А вы скачали версию пятнадцатилетней давности и пытаетесь в ней искать.

Прочтите внимательно инструкцию, ссылка выше. Там всё расписано и сделайте как положено.

Ссылка на комментарий
Поделиться на другие сайты

а разве вас кто-то просил скачивать? Всё что нужно уже находится в каталоге с Автологером. А вы скачали версию пятнадцатилетней давности и пытаетесь в ней искать.

Извините не знал. А что на официальном сайте она не обновляется? Но всё равно несколько пунктов не нашло, наверное их удалил AdwCleaner, и действительно прошёлся по путям этих файлов, их там нет.

Вот эти пункты:

O22 - Task (.job): (Ready) Update Service for Youtube AdBlock.job - C:\Program Files (x86)\Youtube AdBlock\bLfaC5u.exe (file missing)
O22 - Task (.job): (Ready) Update Service for Youtube AdBlock2.job - C:\Program Files (x86)\Youtube AdBlock\bLfaC5u.exe (file missing)
O22 - Task: SearchGo Task - C:\Users\Остап\AppData\Local\SearchGo\searchgo.exe (file missing)
O22 - Task: Update Service for Youtube AdBlock - C:\Program Files (x86)\Youtube AdBlock\bLfaC5u.exe (file missing)
O22 - Task: Update Service for Youtube AdBlock2 - C:\Program Files (x86)\Youtube AdBlock\bLfaC5u.exe (file missing)
O22 - Task: fupdate - C:\Users\Остап\AppData\Local\fupdate\fupdate.exe (file missing)

Остальные пункты пофиксил, GameCenter@Mail.Ru удалил, остатки avast почистил, AdwCleaner запускал, он всё просканировал и удалил. Еле загрузил от AVZ базу, скорость отдачи маленькая, на avz.safezone.cc постоянно сбрасывалось, пришлось на Яндекс.Диск грузить.

Вот ссылка: https://yadi.sk/d/SizhpszDBB-nVg

Всё равно после чистки AdwCleaner-ом и HijackThis идёт это же сетевая атака.

Изменено пользователем Рахима Турдиева
Ссылка на комментарий
Поделиться на другие сайты

Извините не знал. А что на официальном сайте она не обновляется?

вот справка, там сверху есть ответы на ваши вопросы, а также ссылки на оф. сайт.

AdwCleaner запускал, он всё просканировал и удалил.

лог очистки покажите или хотя бы лог свежего сканирования.

SaveFrom.net helper в лисе не сами ставили?

 

+ свежий лог Автологера.

Ссылка на комментарий
Поделиться на другие сайты

SaveFrom.net helper в лисе не сами ставили?

 

Сам, но оно как-то странно установилось, в дополнениях её нет и само расширение не работает.

 

лог очистки покажите или хотя бы лог свежего сканирования.+ свежий лог Автологера.

 

AdwCleanerS01.txt

CollectionLog-2018.12.21-23.47.zip

Ссылка на комментарий
Поделиться на другие сайты

>>>  "C:\Users\Остап\Favorites\Links\Интернет.url"  ->      hxxp://tsesato.ru/?utm_source=favorites03&utm_content=f046790f21831bfb14cf435a96d673fd&utm_term=8C80746F9AA55061FF6A3F4B63426E33&utm_d=20170211

удалите этот ярлык вручную.

В остальном порядок.

 

 

скорей всего ругается на какую-то сетевую программу типа Hamachi, потому что играю по сетке в игры.

на оф. форуме видел подобную тему, где пользователь тоже жаловался на ложные срабатывание в домашнем продукте, но сейчас не смог её найти.

Можете ещё создать тему в разделе Помощь по продуктам Лаборатории Касперского  и спросить там.

 

+

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

 

Выполните рекомендации после лечения.

 

Ссылка на комментарий
Поделиться на другие сайты

 

 


После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Одну уязвимость нашёл:

Поиск критических уязвимостей
Уязвимость в MSXML делает возможным удаленное выполнение кода
https://www.microsoft.com/downloads/details.aspx?FamilyID=7dabf372-4b31-4c9e-a660-4e0f4a65db04
Запускайте обновление от имени Администратора

Обнаружено уязвимостей: 1

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • foroven
      Автор foroven
      Добрый день. После того как мы словили вирус шифровальщик и был установлен антивирусный продукт лаборатории Касперского, в его журнале каждый час стали появляться записи о сетевой атаке. Причем адрес атакующего компьютера это Linux-система с установленным Kerio Control. Может ли Касперсий так реагировать на его работу? Или он может быть заражен? Спасибо.
    • KL FC Bot
      Автор KL FC Bot
      По данным исследовательской компании Juniper Research, оборот электронной торговли в 2024 году превысил 7 триллионов долларов и, по прогнозам, вырастет в полтора раза за следующие пять лет. Но интерес злоумышленников к этой сфере растет еще быстрее. В прошлом году потери от мошенничества превысили $44 млрд, а за пять лет вырастут до $107 млрд.
      Онлайн-площадка любого размера, работающая в любой сфере, может стать жертвой — будь это маркетплейс контента, магазин стройматериалов, бюро путешествий или сайт аквапарка. Если вы принимаете платежи, ведете программу лояльности, поддерживаете личный кабинет клиента — к вам обязательно придут мошенники. Какие схемы атаки наиболее популярны, что за потери несет бизнес и как все это прекратить?
      Кража аккаунтов
      Благодаря инфостилерам и различным утечкам баз данных у злоумышленников на руках есть миллиарды пар e-mail+пароль. Их можно по очереди пробовать на любых сайтах с личным кабинетом, небезосновательно надеясь, что жертва атаки везде использует один и тот же пароль. Эта атака называется credential stuffing, и, если она будет успешна, злоумышленники смогут от имени клиента оплачивать заказы привязанной к аккаунту кредитной картой или использовать баллы лояльности. Также мошенники могут использовать аккаунт для махинаций с покупкой товаров и оплатой сторонними банковскими картами.
       
      View the full article
    • kringil
      Автор kringil
      После заражения трояном Trojan.PWS.Salat.10 (судя по всему, антивирус именно его выдал как вирус) и во время его существования появляются сетевые диски, которые сами подключились к компьютеру, сетевые диски и троян я удалил, но спустя пару дней после удаления трояна не получается открыть редактор реестра и уводят аккаунт телеграмм (после захода в аккаунт был бан у Spam Info Bot до 30 июня за спам и все сеансы завершены, двухфакторка стоит на всех аккаунтах). При попытке открыть редактор реестра выводит ошибку 0xc0000017 (Другие системные приложения тоже не открываются)CollectionLog-2025.06.30-17.26.zip


    • Александр КС
      Автор Александр КС
      Здравствуйте. Столкнулись с шифровальщиком. 1 компьютер остался включенным на майские праздники. Судя по дате изменения файлов 4 дня зашифровывались файлы и он перекинулся на сетевой диск. 5 мая утром он начал шифровать файлы и на других компьютерах, после их включения. После отключения 1 компьютера от сети шифрование по сети остановилось. Антивирус увидел, что файл morgan.exe начал менять уже .exe файлы и был удален. Был отформатирован диск С и установлена новая windows. Но тысячи файлов остались зашифрованными. Логи, зараженные файлы и записку от злоумышленника прилагаю.
      Зашифрованные файлы и записка.rar Addition.txt FRST.txt
    • KL FC Bot
      Автор KL FC Bot
      Многие сотрудники компаний используют в повседневной работе внешние онлайн-сервисы, доступные через браузер. Некоторые помнят адреса часто используемых сайтов и набирают их по памяти, другие сохраняют закладки. Но есть люди, которые каждый раз вбивают название сайта в поисковик и переходят по первой ссылке в выдаче. Именно на них, по всей видимости, и рассчитывают злоумышленники, продвигающие фишинговые сайты через платформу Google Ads. За счет этого фальшивые страницы выдаются в поиске выше, чем ссылка на легитимный сайт.
      Согласно отчету Ads Safety Report, за 2024 год Google заблокировала или удалила 415 миллионов рекламных объявлений Google Ads за нарушения правил, преимущественно связанных с мошенничеством. Компания также заблокировала 15 миллионов рекламных аккаунтов, размещавших подобную рекламу. Эта статистика дает возможность представить масштаб проблемы — Google Ads является невероятно популярным среди преступников инструментом для продвижения вредоносных ресурсов. Большая часть таких схем направлена на домашних пользователей, но в последнее время в новостях появлялись заметки с описаниями случаев охоты за корпоративными аккаунтами в таких сервисах, как Semrush, или даже в самом сервисе Google Ads.
      Поддельные страницы Semrush
      Semrush — популярная платформа для подбора ключевых слов, анализа сайтов конкурентов, отслеживания обратных ссылок и тому подобного. Ей пользуются SEO-специалисты по всему миру. Для большей эффективности Semrush часто интегрируется с Google Analytics и Google Search Console — а аккаунты в этих сервисах могут содержать массу конфиденциальной информации о бизнесе компаний. Например, показатели доходов, сведения о маркетинговых стратегиях, анализ поведения клиентов и многое другое.
      Если злоумышленники смогут получить доступ к аккаунту Semrush, то эта информация может быть использована для проведения новых атак на других сотрудников или просто продана в даркнете.
      Неудивительно, что нашлись злоумышленники, затеявшие фишинговую кампанию, нацеленную на SEO-специалистов. Они создали серию сайтов, оформление которых достаточно точно повторяет страницу входа в аккаунт Semrush. Для убедительности преступники использовали целый ряд доменных имен, содержащих название имитируемой компании: «semrush[.]click», «semrush[.]tech», «auth.seem-rush[.]com», «semrush-pro[.]co», «sem-rushh[.]com» и так далее. И все эти сайты продвигались с помощью объявлений в Google Ads.
       
      View the full article
×
×
  • Создать...