Сетевая угроза заблокирована. CVE-2017-0144_eternalblue - Форум технической поддержки ESET NOD32

Сообщений: 8

Баллов: 4

Регистрация: 12.05.2017

Размещено 12.05.2017 21:30:51

Сегодня, 12.05.2017, в течении всего дня антивирус ESET Smart Security выдавал данную сетевую угрозу параллельно блокируя большое количество соединений. Данная угроза появляется на мониторе с промежутком от пары секунд до минуты. Провайдер NETBYNET(бывший Puzzle в городе Курск). До сегодняшнего дня ничего подобного вообще не было. Может ли быть такое, что это проблема провайдера? Или это уже косяк ОС или вирус? Прошу помочь с этой проблемой, так сказать просветить недалёкого)

Прикрепленные файлы

1.png (151.78 КБ)

yHjY12FsMBU.jpg (65.33 КБ)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 12.05.2017 21:37:18

Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 12.05.2017 21:52:02

CVE-2017-014
Это идентификатор уязвимости Microsoft Windows: Уязвимость удаленного выполнения кода

Сообщений: 8

Баллов: 4

Регистрация: 12.05.2017

Размещено 12.05.2017 21:52:46

Вот

Прикрепленные файлы

ANASTASIA-PC_2017-05-12_21-43-45.7z (657.02 КБ)

Сообщений: 8

Баллов: 4

Регистрация: 12.05.2017

Размещено 12.05.2017 22:04:36

Цитата
RP55 RP55 написал: CVE-2017-014 Это идентификатор уязвимости Microsoft Windows: Уязвимость удаленного выполнения кода

Получается это вирус в ОС?

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 12.05.2017 22:09:25

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v4.0.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE deltmp ;---------command-block--------- delref HTTP://OVGORSKIY.RU delref HTTP://WWW.GOOGLE.RU/SEARCH?HL=RU&Q={SEARCHTERMS}&BTNG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+GOOGLE&LR= delall %SystemDrive%\USERS\ANASTASIA\APPDATA\LOCAL\TEMP\HYD19C8.TMP.1469390034\HTA\3RDPARTY\OCCOMSDK.DLL delref %SystemDrive%\USERS\ANASTASIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HANJIAJGNONAOBDLKLNCDJDMPBOMLHOA\3.2.32_0\MUSICSIG ДЛЯ ВКОНТАКТЕ (VKONTAKTE) delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID] delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID] delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID] delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID] delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\UMPO.DLL delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\LSM.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemRoot%\SYSWOW64\WIN32K.SYS delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref D:\PROGRAM FILES (X86)\WINDOWS MAIL\WINMAIL.EXE delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\DRIVERS\TPM.SYS delref D:\PROGRAM FILES (X86)\CISCO\CISCO LEAP MODULE\CISCOEAPLEAP.DLL delref D:\PROGRAM FILES (X86)\CISCO\CISCO EAP-FAST MODULE\CISCOEAPFAST.DLL delref D:\PROGRAM FILES (X86)\CISCO\CISCO PEAP MODULE\CISCOEAPPEAP.DLL delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL delref D:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE delref %Sys32%\BLANK.HTM delref D:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPCPL.DLL delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %Sys32%\PSXSS.EXE delref %Sys32%\IGFXCFG.EXE delref %Sys32%\SHAREMEDIACPL.CPL delref D:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\ADO\MSADO15.DLL delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\WAB32.DLL delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\OLE DB\MSDAPS.DLL delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\OLE DB\SQLOLEDB.DLL delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\OLE DB\MSXACTPS.DLL delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\OLE DB\OLEDB32.DLL delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\MSADC\MSDAREM.DLL delref D:\PROGRAM FILES (X86)\WINDOWS MAIL\WABFIND.DLL delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\MSADC\MSADCE.DLL delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\MSADC\MSDAPRST.DLL delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\ADO\MSADRH15.DLL delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\MSADC\MSADCF.DLL delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\MSADC\MSDFMAP.DLL delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\MSADC\MSADCO.DLL delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\OLE DB\MSDASQL.DLL delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\ADO\MSJRO.DLL delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\OLE DB\MSDAOSP.DLL delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\OLE DB\SQLXMLX.DLL delref D:\PROGRAM FILES (X86)\WINDOWS NT\TABLETEXTSERVICE\TABLETEXTSERVICE.DLL delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL delref D:\EDITOR.EXE delref D:\REPORTER.EXE delref D:\SCRIPTMAKER.EXE delref D:\TESTER.EXE delref D:\TESTDESK2.URL apply restart

Код



;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
deltmp
;---------command-block---------
delref HTTP://OVGORSKIY.RU
delref HTTP://WWW.GOOGLE.RU/SEARCH?HL=RU&Q={SEARCHTERMS}&BTNG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+GOOGLE&LR=
delall %SystemDrive%\USERS\ANASTASIA\APPDATA\LOCAL\TEMP\HYD19C8.TMP.1469390034\HTA\3RDPARTY\OCCOMSDK.DLL
delref %SystemDrive%\USERS\ANASTASIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HANJIAJGNONAOBDLKLNCDJDMPBOMLHOA\3.2.32_0\MUSICSIG ДЛЯ ВКОНТАКТЕ (VKONTAKTE)
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref D:\PROGRAM FILES (X86)\WINDOWS MAIL\WINMAIL.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\TPM.SYS
delref D:\PROGRAM FILES (X86)\CISCO\CISCO LEAP MODULE\CISCOEAPLEAP.DLL
delref D:\PROGRAM FILES (X86)\CISCO\CISCO EAP-FAST MODULE\CISCOEAPFAST.DLL
delref D:\PROGRAM FILES (X86)\CISCO\CISCO PEAP MODULE\CISCOEAPPEAP.DLL
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref D:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPENH.EXE
delref %Sys32%\BLANK.HTM
delref D:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPCPL.DLL
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %Sys32%\IGFXCFG.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref D:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\ADO\MSADO15.DLL
delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\WAB32.DLL
delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\OLE DB\MSDAPS.DLL
delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\OLE DB\SQLOLEDB.DLL
delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\OLE DB\MSXACTPS.DLL
delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\OLE DB\OLEDB32.DLL
delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\MSADC\MSDAREM.DLL
delref D:\PROGRAM FILES (X86)\WINDOWS MAIL\WABFIND.DLL
delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\MSADC\MSADCE.DLL
delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\MSADC\MSDAPRST.DLL
delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\ADO\MSADRH15.DLL
delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\MSADC\MSADCF.DLL
delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\MSADC\MSDFMAP.DLL
delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\MSADC\MSADCO.DLL
delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\OLE DB\MSDASQL.DLL
delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\ADO\MSJRO.DLL
delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\OLE DB\MSDAOSP.DLL
delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\OLE DB\SQLXMLX.DLL
delref D:\PROGRAM FILES (X86)\WINDOWS NT\TABLETEXTSERVICE\TABLETEXTSERVICE.DLL
delref D:\PROGRAM FILES (X86)\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref D:\EDITOR.EXE
delref D:\REPORTER.EXE
delref D:\SCRIPTMAKER.EXE
delref D:\TESTER.EXE
delref D:\TESTDESK2.URL
apply

restart

+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 12.05.2017 22:12:28

Цитата
Ермилов Виктор написал: Получается это вирус в ОС?

Ничего такого в системе не увидел.
В основном просто стандартный мусор и левая ссылка на: OVGORSKIY.RU, расширение браузера, рекламный агент.
Выполните выше данный скрипт и инструкцию.

Изменено: RP55 RP55 - 12.05.2017 22:14:25

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 12.05.2017 22:14:55

От себя добавлю, что Вам повезло, не стоял бы смарт, уже бы писали запрос на расшифровку файлов...

Блокируйте далее.

Настоятельно рекомендую установить все важные и критические обновления для ОС, после очистки системы.

Спасибо.

Сообщений: 8

Баллов: 4

Регистрация: 12.05.2017

Размещено 12.05.2017 22:32:48

Во время проверки Malwarebytes всё равно вылезла вся та же угроза CVE-2017-0144_eternalblue

Прикрепленные файлы

проверка.txt (2.28 КБ)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 12.05.2017 22:38:27

1) В Malwarebytes - Чисто.

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru и Yandex снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/

[ Закрыто ] Сетевая угроза заблокирована. CVE-2017-0144_eternalblue , CVE-2017-0144_eternalblue