Псевдоугроза?

Non-English Boards Русский
1

Всем привет. Уже где-то месяц аваст по несколько раз вдень выдает серию сообщений о том что компьютер атакован.
http://i069.radikal.ru/1708/33/75fa7ad44a48.jpg

Это реальная угроза или аваст зря паникует?

2

Andrew440, здравствуйте и добро пожаловать на форум!

Угроза реальная, это эксплойт, который эксплуатирует уязвимость SMB Windows. Рекомендую установить все обновления ОС, особенно, закрывающие эту уязвимость.

3

Так windows у меня регулярно обновляется, ту обнову, что закрывает уязвимость я даже специально скачал и установил в ручную отдельно, но и это не помогло, эти атаки продолжаются и дальше…

4

Andrew440, подготовьте отчеты по инструкции: https://forum.avast.com/index.php?topic=130898.0 и прикрепите их в следующем сообщении.

5

Прикрепил логи

6

Скачайте, пожалуйста, WMI Explorer 2.0 по ссылке https://www.bleepingcomputer.com/download/wmi-explorer/

  1. Запустите WMI Explorer и в левом верхнем углу нажмите кнопку Connect
  2. В появившемся дереве найдите ROOT\subscription и дважды кликните по нему
  3. в Classes появится ActiveScriptEventConsumer, кликните дважды по нему и в следующей панельке во вкладке Instances имеются записи? Если да, то дважды кликните по нему и скопируйте содержимое поля StringText в следующее сообщение.
7

Во вкладке Instances отсутствуют какие-либо записи, поля пустые.

8
  1. В WMI Explorer в меню Launch выберите WMI tester
  2. В открывшемся окне Тестера инструментария управления Windows нажмите кнопку Подключить и в поле Пространство имен введите root\subscription и нажмите подключить
  3. Установите внизу галочку Включить все привелегии
  4. Нажмите на кнопку Экземпляры и введите ActiveScriptEventConsumer нажмите Ок. Если экземпляров нет, то переходите к следующему пункту. Если будут найдены экземпляры, то нажмите кнопку Удалить.
  1. В MBAM удалите следующий обнаруженный объект:
Trojan.Agent, C:\WINDOWS\LOADER.EXE, Проигнорировано пользователем, [19], [207332],1.0.2635
9

Экземпляров нет, а вот LOADER.EXE удалять не вижу смысла, это крак потому и антивирус ругается, тем более этот файл у меня не новый и уже 2 года как на компьютере находится. Даже не знаю в чем дело может быть…

10

[*]Сохраните прикрепленный файл fixlist.txt в папку, откуда был запущен FRST (D:\Загрузки)
[*]Теперь, пожалуйста, запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
[*]Обратите внимание, что компьютер будет перезагружен.

ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!

11

Прикрепил фикслог

12

Andrew440, проблема по-прежнему наблюдается?

13

Все по прежнему