Author Topic: Аваст постоянно блокирует SMB:CVE-2017-0144 [Expl] ? Что Это?  (Read 87476 times)

0 Members and 1 Guest are viewing this topic.

REDACTED

  • Guest
Насчёт обновлений скажу одно.У меня Центр обновлений настроен так,что я сам решаю ставить или не ставить новое обновление.И прежде чем его устанавливать,я захожу на сайт и читаю про это обновление.Вот вам две ссылки по вашим обновлениям ! Заходите и читайте для чего они !
https://support.microsoft.com/ru-ru/help/4009975/windows-7-sp1-windows-server-2008-r2-sp1-update-kb4012212  Оно от 14 марта 2017 года ! Вы опоздали с ним !
https://support.microsoft.com/ru-ru/help/4011466/windows-7-sp1-windows-server-2008-r2-sp1-update-kb4012215  И это от 14 марта 2017 года ! Они одинаковые ! Ставить надо более позднее по номеру !
Оба обновления ------------
Обновления для системы безопасности для DVD-студии Windows, графического компонента Майкрософт, драйверов, работающих в режиме ядра Windows, проигрывателя Windows Media, служб MSXML, ОС Windows, устаревания SHA-1 для сертификатов SSL/TLS, ядра Windows, Microsoft Uniscribe, сервера SMB, Windows Hyper-V, служб IIS и служб федерации Active Directory (AD FS).

Иваныч, благодарю вас за комментарий, вы, как всегда, обстоятельно все поясняете. Согласна с вами, с обновлениями нужно поосторожнее. Прежде чем устанавливать названные мной обновления, я тоже много чего о них прочитала. На сайте Microsoft они рекламировались, в том числе, как устраняющие уязвимость, которую атакует вирус WannaCry. Действовала согласно рекомендаций, полученных на сайтах Microsoft и др. и не жалею. 
https://support.eset.com/ca6443/?locale=en_US&viewlocale=en_US
« Last Edit: November 23, 2017, 01:38:56 AM by natmika »

REDACTED

  • Guest

оказалось шлют мне не из внутренних ип провайдера

переустаноки аваста и проверки не пойми чем результата не дали, симптомы остались, но теперь 8 сообщений выскакивают не раз в пару минут а примерно раз в пару недель. но от этого легче на душе не становится

обновления, переустановки, дополнительный софт и прочие свистоперделки пока не помогли

Offline Ivanych

  • Пенсионер.
  • Massive Poster
  • ****
  • Posts: 3517
  • СССР-Москва,ГДР-Ютербог,Россия-Ульяновск.
Скачайте и установите бесплатную версию MBAM по ссылке
http://www.malwarebytes.org/free/
И проверьте весь свой жёсткий диск
А на непроверенные сайты лучше заходите после проверки их на сайте-сканере---
https://www.virustotal.com/ru/#url
http://sitecheck.sucuri.net/results/etomne.ru/
http://zulu.zscaler.com/
http://antivirus-alarm.ru/proverka/?url
http://urlvoid.com/
http://siteinspector.comodo.com/
Я частичку своей жизни оставил в Ютербоге Германии !

Offline j.bonzo

  • Advanced Poster
  • **
  • Posts: 976
...оказалось шлют мне не из внутренних ип провайдера
https://www.securitylab.ru/blog/personal/aodugin/305208.php
"100.64.0.0/10
В соответствии с RFC6598 , используется как транслируемый блок адресов для межпровайдерских взаимодействий и Carrier Grade NAT. Особенно полезен как общее свободное адресное IPv4-пространство RFC1918, необходимое для интеграции ресурсов провайдеров, а также для выделения немаршрутизируемых адресов абонентам. Конечно, в последнем случае никто не мешает использовать RFC1918 - на откуп сетевым архитекторам."
« Last Edit: December 13, 2017, 12:06:04 PM by j.bonzo »

REDACTED

  • Guest
Скачайте и установите бесплатную версию MBAM по ссылке
http://www.malwarebytes.org/free/
И проверьте весь свой жёсткий диск
А на непроверенные сайты лучше заходите после проверки их на сайте-сканере---
https://www.virustotal.com/ru/#url
http://sitecheck.sucuri.net/results/etomne.ru/
http://zulu.zscaler.com/
http://antivirus-alarm.ru/proverka/?url
http://urlvoid.com/
http://siteinspector.comodo.com/
это такой тролинг? на каждой страничке каждому пользователю советовать одно и то же?
не работает это фуфло, я уже в четвертый раз пишу
и если проверять все непроверенные сайты куда я захожу за день - то мне никакой жизни не хватит чтоб это сделать

если советов толковых нет - то лучше прогнорировать тему

REDACTED

  • Guest

REDACTED

  • Guest
Появилась такая же проблема. Один в один.... Появляется не часто, обычно по вечерам, раз-два в неделю. Как бороться, не очень понятно. Виндоус обновлен также как и Офис. Как с этим бороться, кто нибудь нашел реально работающий способ? Можно как-то запретить подключения к сайту, с которого лезет зараза??

REDACTED

  • Guest
Кстати, не знаю есть ли смысл устанавливать обновление kb401, если у меня виндоус 7 и так обновляется автоматически..... Значит, по идее эти патчи уже стоят у меня и скачивать их нет смысла?

REDACTED

  • Guest
У меня Avast стал блокировать попытку перехода на сайт smb://172.16.36.118/nsa:cve-2017-0144_EternalBlue после того, как я настроил подключение к бесплатному VPN - сервис VPNbook.com. А Вы используете какой-нибудь VPN? Как я понял из этой статьи http://www.2-remove-virus.com/ru/udalit-smbcve-2017-0144/ появление такого предупреждения не обязательно означает, что компьютер заражен. Видимо, VPN-соединение использует порт 445, avast это видит как угрозу.
« Last Edit: July 31, 2018, 11:46:40 AM by sharmih »

Offline svet3

  • Newbie
  • *
  • Posts: 1
Зарегился чтобы описать как я поборол данную проблему. Возможно кому-то поможет. Стал анализировать свои действия перед появлением уведомления от AVAST и стал в обратном порядке отматывать назад. Итак: Деинсталировал установленный в тот день СС Cleaner. 2.Отменил сделанный в тот же день в роутере проброс (открытие) портов 8080 и 80. 3. Осуществил клонирование MAC в роутере (по сути изменил динаминачиский IP от провайдера) Это действие я считаю основным для решения проблемы 4. Установил критически важные обновления Windows. Всё, как пошептали  :). Никаких предупреждений нет

Offline alexeedik

  • Newbie
  • *
  • Posts: 1
Я зашел в диспечер задач-процессы и увидел что один процесс со странным названием жрет 300мб оперативки, правой кнопкой по нему---открыть место хранения файла. Произошло следующее: выскочило это преcловутое сообщение про которое эта тема и открылась папка с раположением этой "фигни". У меня это(С---пользователи---appData---local---temp) и эта "фигня" либо сразу удалилось после завершения процесса в диспечере, либо ее удалил dr.web cure it.

Offline Ivanych

  • Пенсионер.
  • Massive Poster
  • ****
  • Posts: 3517
  • СССР-Москва,ГДР-Ютербог,Россия-Ульяновск.
У меня это(С---пользователи---appData---local---temp) и эта "фигня" либо сразу удалилось после завершения процесса в диспечере, либо ее удалил dr.web cure it.
Так папки Temp рекомендуется очищать !
Этим занимаются программы,которые их очищают.
У меня лично программы: CCleaner и AusLogicsBoostSpeed этим занимаются.
Я частичку своей жизни оставил в Ютербоге Германии !

Offline Ivanych

  • Пенсионер.
  • Massive Poster
  • ****
  • Posts: 3517
  • СССР-Москва,ГДР-Ютербог,Россия-Ульяновск.
%u041D%u0430%u043F%u0438%u0441%u0430%u043B %u0442%u0443%u0442 %u043D%u043E%u0440%u043C%u0430%u043B%u044C%u043D%u044B%u0439 %u043A%u043E%u043C%u043C%u0435%u043D%u0442%u0430%u0440%u0438%u0439,%u0430 %u043A%u043E%u0433%u0434%u0430 %u043F%u043E%u043C%u0435%u0441%u0442%u0438%u043B %u0432 %u0442%u0435%u043C%u0443,%u0442%u043E %u0432%u0441%u0451 %u0438%u0441%u043A%u0430%u0437%u0438%u043B%u043E%u0441%u044C %u0432 %u043D%u0435%u0439 !
**************************************************************************
%u041F%u0440%u043E%u0432%u0435%u0440%u044C%u0442%u0435 %u0441%u0432%u043E%u0438 %u0441%u0430%u0439%u0442%u044B %u043D%u0430 %u0441%u0430%u0439%u0442%u0435 https://www.virustotal.com/gui/home/upload
%u0410 %u0441%u0441%u044B%u043B%u043A%u0438 %u043D%u0430 %u0440%u0435%u0437%u0443%u043B%u044C%u0442%u0430%u0442%u044B %u043F%u0440%u043E%u0432%u0435%u0440%u043E%u043A %u043E%u0442%u043F%u0440%u0430%u0432%u044C%u0442%u0435 %u0432 %u0442%u0435%u0445%u043F%u043E%u0434%u0434%u0435%u0440%u0436%u043A%u0443.
Я частичку своей жизни оставил в Ютербоге Германии !

Offline Ivanych

  • Пенсионер.
  • Massive Poster
  • ****
  • Posts: 3517
  • СССР-Москва,ГДР-Ютербог,Россия-Ульяновск.
Опять весь текст исказился ! Что случилось на форуме ?
Я частичку своей жизни оставил в Ютербоге Германии !

Offline toshonada

  • Newbie
  • *
  • Posts: 11
У меня сообщение о безопасном разъединении появилось после того, как Интернет был подключен напрямую через сетевую карту. При чем, айпи отключенных Авастом соединений были похожи на мой - разница только в двух последних числах. Они менялись, редко появлялись "чужие" айпи, что натолкнуло на мысль о внутрисетевой инфекции. Глубокое сканирование антивирусом и поиск блох в системе результатов не дал.

РЕШЕНИЕ ПРОБЛЕМЫ: После подключения к провайдеру через роутер и клонирования МАКа сообщения пропали.

Предположение: Вероятно, некоторые клиенты нашего провайдера работают на зараженных машинах.  ???

Вывод: АВАСТ молодец!