Win32/Exploit.CVE-2017-0147.A

[marat1976]

Здравствуйте уважаемые форумчане.

Уже как месяц на рабочем компе, антивирусник ESET EndPoint 5.0.2214.7 находит вирус: Имя объекта С:\Windows\mssecsvr.exe. Причина: Win32/exploit.CVE-2017-0147.A.
Очистил карантин. Произвел полное сканирование компа.
Вирус обнаруживается вновь, регулярно в сутки 2-3 раза.
Компьютер имеет две сетевые подключения: первый корпоративная сеть ( который имеет выход в интернет для авторизованных пользователей). Вторая сеть местная локальная сеть с подключением десяти пользователей.
Компьютер общий, рабочий. Возможно кто то занес этот вирус.
Прогонка через Dr WEB Cureit, не помогло. Лог avz4 прилагаю.


Тип компьютера ACPI x64-based PC
Операционная система Microsoft Windows 7 Ultimate
Пакет обновления ОС Service Pack 1
Internet Explorer 9.10.9200.16521
DirectX DirectX 11.0

Системная плата:
Тип ЦП DualCore Intel Core 2 Duo E7400, 2800 MHz (10.5 x 267)
Системная плата Dell OptiPlex 760
Чипсет системной платы Intel Eaglelake Q43
Системная память 3931 МБ
Тип BIOS Phoenix (04/29/09)

 

[Vladimir_S]

Уважаемый Марат, помощь Вы получите ТОЛЬКО после того, как вот эти инструкции будут Вами выполнены В ПОЛНОМ ОБЪЁМЕ.

 

[marat1976]

спасибо, Владимир за помощ.
Компьютер являеться рабочим, мне не позволят снять логи с помощью uVS.
Будем ждать, что произойдет дальше. Пока Eset ловит зловреды.
Сейчас в данный момент сканирую в безопасном режиме с помощью Dr.Web CureIt

 

[Vvvyg]

marat1976, предварительно.

Внимание !!! База поcледний раз обновлялась 01.03.2016 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Хотя бы базы обновляйте, раз уж AVZ использовали.

Кроме древней версии Eset видно хвосты от Avast, если нет возможности деинсталлировать штатно, рекомендую удалить остатки утилитой aswclear.exe в безопасном режиме. Два антивируса - это не двойная защита, а наоборот.

Знаете, что это?

C:\Program Files (x86)\youdu\client\loader.exe

В любом случае, проверьте на virustotal.com и дайте ссылку на результат.

Обратите внимание: в настройках IE задан прокси-сервер S-1-5-21-517984132-3557692192-877629012-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer="127.0.0.1:1080"

Знаете, зачем прокси на локалхосте?

Ну и сам факт, что антивирус постоянно находит Win32/exploit.CVE-2017-0147.A. означает, что система у вас с начала 2017-года минимум не обновлялась, и нужно установить, как минимум, KB4012212, иначе так и будете долбимы эксплоитом, антивирус только последствия устраняет, а не причину.
Ну и ещё это означает, что в локальной сети есть источник[и] заразы, либо открыт доступ к компьютеру снаружи.

 

[marat1976]

Vvvyg спасибо за совет

Vvvyg спасибо
Древнюю версию Eset используем потому что она доступна и не грузит наш древний комп.
Остатки Avast-это то что осталось от прошлого принудительного удаления с помощью aswcleaner ( сам он не хотел удаляться. Много проблем у нас было с этим Авастом) Попытаюсь удалить хвосты вручную.

Yodo эта наша рабочая программа используемая для свзязи.

KB4012212 - это я как понял надо обновить Widows 7, вопрос: а щас это возможно, ведь Майкрософт прекратил поддержку семерки.

Про локалхост на IE, это мне надо посмотреть в настройках подключения IE ? и отключить все это
Кстати: вчера с помощью Dr Web Cureit в безопасном режиме просканировал комп. Сканер нашел что то связанное C: Tencent\ QQ\ iobirdownloader. Удалил
Пока вирус себя не проявляет.

 

[prima]

KB4012212 - это я как понял надо обновить Widows 7

Поищи unofficial service pack windows 7.

 

[Vvvyg]

KB4012212 - это я как понял надо обновить Widows 7, вопрос: а щас это возможно, ведь Майкрософт прекратил поддержку семерки.

Тем не менее, прекрасно обновляется, просто год уже не выходят новые обновления. Стоит обновить по полной, через автоматическое обновление, или с помощью Набора обновлений UpdatePack7R2 для Windows 7 SP1 и Server 2008 R2 SP1 - там есть критический фикс от уязвимости Zerologon, который через автоматическое обновление для Windows 7 не распространяется.

aswcleaner нужно применять только в безопасном режиме, в системе драйвера остались от Avast.

Давайте такие логи.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

 

[marat1976]

Спасибо всем за помощь!

Отписываюсь о проделанной работе!

Друг удаленно посмотрел наш комп, и проделали следующие операции:

1. Отключили Internet Explorer через Панель Управления.( видимо все таки есть уязвимомсть, о которой писал vvvyg.).
2. В папке Widows/system 32 нашли файл mssecsvr.exe.dump....( расширение точно не помню) и удалили. Также в реестре удалили одну запись связанный с этим файлом.
3. Дополнительно aswcleaner-ом подчистил хвосты от аваст в безопасном режиме.

Пока все чисто, и антивирус не находит этот вирус.
Еще раз спасибо, всем!

 

[Vvvyg]

Без установки обновления. о котором писал выше, проблему не решить, отключение IE совсем не в тему, имейте ввиду.