Amenaza muy resistente SMB : CVE - 2017-0144 y Como cerrar el Puerto 445?

No veo Panda Devices Agent y Panda Security URL Filtering, en la lista de Revo Uninstaller, pero veo sus carpetas en la carpeta de Archivos de Programa de Windows, Que debo hacer?

Hola @Jaime64

Esas imágenes no son las que te pedí.

Te comente que trataras de instalar esos parches y si te daban un error subieras esas imágenes.


Realizar los pasos para verificar y / o cerrar los puertos 445 y 139.


Y Luego seguir con los pasos del Fixlist.

Salu2

Este es el informe de Frst.exe.

Fix result of Farbar Recovery Scan Tool (x86) Version: 29-09-2019
Ran by ADM-ll (30-09-2019 14:11:00) Run:1
Running from C:\Users\ADM-ll\Desktop
Loaded Profiles: ADM-ll (Available Profiles: ADM-ll & Invitado)
Boot Mode: Normal

==============================================

fixlist content:
*****************
Start
CloseProcesses:
CreateRestorePoint:
HKLM\...\Drivers32: [vidc.mjpg] => C:\Windows\system32\bdmjpeg.dll [71152 2017-01-26] (Bandicam Company -> )
HKLM\...\Drivers32: [vidc.mpeg] => C:\Windows\system32\bdmpegv.dll [71176 2017-01-26] (Bandicam Company -> )
HKLM\...\Drivers32: [msacm.bdmpeg] => C:\Windows\system32\bdmpega.acm [71176 2017-01-26] (Bandicam Company -> )
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
BootExecute: autocheck autochk * PCloudBroom.exe \systemroot\system32\BroomData.bit
Task: {432E3376-D49B-4EA8-A500-7B655DB24423} - System32\Tasks\{36BD45AE-5079-43D9-823A-3F1670353CC7} => C:\Windows\system32\pcalua.exe -a D:\setup.exe -d D:\
Task: {466E7AD5-95D3-4A0E-978F-16DCC067512D} - System32\Tasks\AVG\Overseer => C:\Program Files\Common Files\AVG\Overseer\overseer.exe [1574320 2019-09-18] (AVG Technologies USA, Inc. -> AVG Technologies CZ, s.r.o.)
C:\Program Files\Common Files\AVG
Task: {F2273CC9-0306-4401-AC58-F4FE1AEA5DAB} - System32\Tasks\{89A6836E-57A9-4A4E-B1B8-6F35AD59DBAC} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\VS Revo Group\Revo Uninstaller Pro\RevoUninPro.exe" -d "C:\Program Files\VS Revo Group\Revo Uninstaller Pro"
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-2707563477-1181458908-4289881501-1000 -> {0AA24E16-07B3-4694-8357-3C21ACC5F516} URL = hxxps://search.comodo.com/?p={searchTerms}&hsimp=yhs-securitybundle&cc=ve&type=33050001005_12.0.0.6818_i_ds_sp&cri=43FA119C60FA0AA2F4254C07E9EC1887&cni=33050001
Toolbar: HKU\S-1-5-21-2707563477-1181458908-4289881501-1000 -> No Name - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} -  No File
S3 AfVpnService; "C:\Program Files\Bitdefender\Bitdefender VPN\vpnservice.exe" [X]
C:\Program Files\Bitdefender
S3 Panda VPN Service; "C:\Program Files\Panda Security\Panda Security Protection\Hydra.Sdk.Windows.Service.exe" [X]
C:\Program Files\Panda Security
S3 PSINanoRun_15E6; C:\Users\ADM-ll\AppData\Local\Temp\15E6\PSINanoRun_15E6.exe [X] <==== ATTENTION
R0 kl1; C:\Windows\System32\DRIVERS\kl1.sys [165296 2016-08-02] (Kaspersky Lab -> AO Kaspersky Lab)
R3 klflt; C:\Windows\System32\DRIVERS\klflt.sys [141136 2016-08-02] (Kaspersky Lab -> AO Kaspersky Lab)
R1 klhk; C:\Windows\System32\DRIVERS\klhk.sys [111440 2016-08-02] (Kaspersky Lab -> AO Kaspersky Lab)
R1 KLIF; C:\Windows\System32\DRIVERS\klif.sys [786256 2016-08-02] (Kaspersky Lab -> AO Kaspersky Lab)
S1 NNSDNS; C:\Windows\System32\DRIVERS\NNSDns.sys [105656 2019-03-05] (Panda Security S.L. -> Panda Security, S.L.)
S3 panda_url_filteringd; \??\C:\Program Files\Panda Security URL Filtering\panda_url_filteringd.sys [X]
C:\Program Files\Panda Security URL Filtering
S3 SWDUMon; system32\DRIVERS\SWDUMon.sys [X]
2019-09-27 11:15 - 2019-09-27 11:15 - 000000000 ____D C:\ProgramData\panda_url_filtering
2019-09-27 13:06 - 2019-06-26 14:13 - 000000000 ____D C:\Program Files\Panda Security URL Filtering
ContextMenuHandlers1: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} => C:\Program Files\Panda Security\Panda Security Protection\PSUAShell.dll -> No File
ContextMenuHandlers1: [ZLAVShExt] -> {D9872D13-7651-4471-9EEE-F0A00218BEBB} =>  -> No File
ContextMenuHandlers5: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} => C:\Program Files\Panda Security\Panda Security Protection\PSUAShell.dll -> No File
C:\Program Files\Panda Security
ContextMenuHandlers6: [UAContextMenu] -> {A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} => C:\Program Files\Panda Security\Panda Security Protection\PSUAShell.dll -> No File
ContextMenuHandlers6: [ZLAVShExt] -> {D9872D13-7651-4471-9EEE-F0A00218BEBB} =>  -> No File

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END

*****************

Processes closed successfully.
Restore point was successfully created.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32\\vidc.mjpg" => removed successfully.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32\\vidc.mpeg" => removed successfully.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32\\msacm.bdmpeg" => removed successfully.
HKLM\SOFTWARE\Policies\Mozilla => removed successfully.
HKLM\SOFTWARE\Policies\Google => removed successfully.
HKLM\System\CurrentControlSet\Control\Session Manager\\BootExecute => value restored successfully
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{432E3376-D49B-4EA8-A500-7B655DB24423}" => removed successfully.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{432E3376-D49B-4EA8-A500-7B655DB24423}" => removed successfully.
C:\Windows\System32\Tasks\{36BD45AE-5079-43D9-823A-3F1670353CC7} => moved successfully
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{36BD45AE-5079-43D9-823A-3F1670353CC7}" => removed successfully.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{466E7AD5-95D3-4A0E-978F-16DCC067512D}" => removed successfully.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{466E7AD5-95D3-4A0E-978F-16DCC067512D}" => removed successfully.
C:\Windows\System32\Tasks\AVG\Overseer => moved successfully
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVG\Overseer" => removed successfully.
C:\Program Files\Common Files\AVG => moved successfully
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F2273CC9-0306-4401-AC58-F4FE1AEA5DAB}" => removed successfully.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F2273CC9-0306-4401-AC58-F4FE1AEA5DAB}" => removed successfully.
C:\Windows\System32\Tasks\{89A6836E-57A9-4A4E-B1B8-6F35AD59DBAC} => moved successfully
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{89A6836E-57A9-4A4E-B1B8-6F35AD59DBAC}" => removed successfully.
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => removed successfully.
HKU\S-1-5-21-2707563477-1181458908-4289881501-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0AA24E16-07B3-4694-8357-3C21ACC5F516} => removed successfully.
HKLM\Software\Classes\CLSID\{0AA24E16-07B3-4694-8357-3C21ACC5F516} => not found
"HKU\S-1-5-21-2707563477-1181458908-4289881501-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{1DAC0C53-7D23-4AB3-856A-B04D98CD982A}" => removed successfully.
HKLM\Software\Classes\CLSID\{1DAC0C53-7D23-4AB3-856A-B04D98CD982A} => not found
HKLM\System\CurrentControlSet\Services\AfVpnService => removed successfully.
AfVpnService => service removed successfully.
"C:\Program Files\Bitdefender" => not found
HKLM\System\CurrentControlSet\Services\Panda VPN Service => removed successfully.
Panda VPN Service => service removed successfully.
C:\Program Files\Panda Security => moved successfully
HKLM\System\CurrentControlSet\Services\PSINanoRun_15E6 => removed successfully.
PSINanoRun_15E6 => service removed successfully.
kl1 => Unable to stop service.
HKLM\System\CurrentControlSet\Services\kl1 => removed successfully.
kl1 => service removed successfully.
klflt => Unable to stop service.
HKLM\System\CurrentControlSet\Services\klflt => removed successfully.
klflt => service removed successfully.
klhk => Unable to stop service.
HKLM\System\CurrentControlSet\Services\klhk => removed successfully.
klhk => service removed successfully.
KLIF => Unable to stop service.
HKLM\System\CurrentControlSet\Services\KLIF => removed successfully.
KLIF => service removed successfully.
HKLM\System\CurrentControlSet\Services\NNSDNS => removed successfully.
NNSDNS => service removed successfully.
HKLM\System\CurrentControlSet\Services\panda_url_filteringd => removed successfully.
panda_url_filteringd => service removed successfully.
C:\Program Files\Panda Security URL Filtering => moved successfully
HKLM\System\CurrentControlSet\Services\SWDUMon => removed successfully.
SWDUMon => service removed successfully.
C:\ProgramData\panda_url_filtering => moved successfully
"C:\Program Files\Panda Security URL Filtering" => not found
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\UAContextMenu => removed successfully.
HKLM\Software\Classes\CLSID\{A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} => removed successfully.
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\ZLAVShExt => removed successfully.
HKLM\Software\Classes\CLSID\{D9872D13-7651-4471-9EEE-F0A00218BEBB} => not found
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\UAContextMenu => removed successfully.
HKLM\Software\Classes\CLSID\{A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} => not found
"C:\Program Files\Panda Security" => not found
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\UAContextMenu => removed successfully.
HKLM\Software\Classes\CLSID\{A9B8E64D-3F7E-4D32-8FC9-E391DEE67D75} => not found
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\ZLAVShExt => removed successfully.
HKLM\Software\Classes\CLSID\{D9872D13-7651-4471-9EEE-F0A00218BEBB} => not found

========= ipconfig /flushdns =========


Configuraci¢n IP de Windows

Se vaci¢ correctamente la cach‚ de resoluci¢n de DNS.

========= End of CMD: =========


========= ipconfig /renew =========


Configuraci¢n IP de Windows

No se puede realizar ninguna operaci¢n en Conexi¢n de  rea local 7 mientras los medios
est‚n desconectados.
No se puede realizar ninguna operaci¢n en Conexi¢n de  rea local 6 mientras los medios
est‚n desconectados.
No se puede realizar ninguna operaci¢n en Conexi¢n de  rea local 5 mientras los medios
est‚n desconectados.
No se puede realizar ninguna operaci¢n en Conexi¢n de  rea local 4 mientras los medios
est‚n desconectados.
No se puede realizar ninguna operaci¢n en Conexi¢n de  rea local 3 mientras los medios
est‚n desconectados.

Adaptador de Ethernet Conexi¢n de  rea local 7:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de Ethernet Conexi¢n de  rea local 6:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de Ethernet Conexi¢n de  rea local 5:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de Ethernet Conexi¢n de  rea local 4:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de Ethernet Conexi¢n de  rea local 3:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de Ethernet Conexi¢n de  rea local:

   Sufijo DNS espec¡fico para la conexi¢n. . : Belkin
   V¡nculo: direcci¢n IPv6 local. . . : fe80::1d63:321f:b6fa:8414%11
   Direcci¢n IPv4. . . . . . . . . . . . . . : 192.168.2.2
   M scara de subred . . . . . . . . . . . . : 255.255.255.0
   Puerta de enlace predeterminada . . . . . : 192.168.2.1

Adaptador de t£nel Teredo Tunneling Pseudo-Interface:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de t£nel isatap.{215954E0-B86A-4C5E-8D7E-798134D423AE}:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de t£nel isatap.{BEAD42EB-BD2B-407E-8EA7-1FC3E9C00B7C}:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de t£nel Reusable ISATAP Interface {29081660-5386-4C1B-B441-514E3CDBE4B1}:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de t£nel Reusable ISATAP Interface {64E2089E-BF89-4006-80EC-8BE7E8B09769}:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de t£nel isatap.{05B91FA1-A3B2-492E-9D70-4EC4A3E6B51D}:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

Adaptador de t£nel isatap.Belkin:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : Belkin

========= End of CMD: =========


========= bitsadmin /reset /allusers =========


BITSADMIN version 3.0 [ 7.5.7601 ]
BITS administration utility.
(C) Copyright 2000-2006 Microsoft Corp.

BITSAdmin is deprecated and is not guaranteed to be available in future versions of Windows.
Administrative tools for the BITS service are now provided by BITS PowerShell cmdlets.

0 out of 0 jobs canceled.

========= End of CMD: =========


========= netsh winsock reset =========


El cat logo Winsock se restableci¢ correctamente.
Debe reiniciar el equipo para completar el restablecimiento.


========= End of CMD: =========


========= netsh advfirewall reset =========

Aceptar


========= End of CMD: =========


========= netsh advfirewall set allprofiles state ON =========

Aceptar


========= End of CMD: =========


========= netsh int ipv4 reset =========

Global se restableci¢ correctamente.
Interfaz se restableci¢ correctamente.
Reinicie el equipo para completar esta acci¢n.


========= End of CMD: =========


========= netsh int ipv6 reset =========

Interfaz se restableci¢ correctamente.
Reinicie el equipo para completar esta acci¢n.


========= End of CMD: =========


========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => removed successfully.
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => removed successfully.
"HKU\S-1-5-21-2707563477-1181458908-4289881501-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => removed successfully.
"HKU\S-1-5-21-2707563477-1181458908-4289881501-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => removed successfully.


========= End of RemoveProxy: =========

C:\Windows\System32\Drivers\etc\hosts => moved successfully
Hosts restored successfully.

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 6811303 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 41220090 B
Edge => 0 B
Chrome => 388490645 B
Firefox => 105537996 B
Opera => 8538872 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 66228 B
Public => 0 B
ProgramData => 0 B
systemprofile => 504 B
LocalService => 357 B
NetworkService => 357 B
ADM-ll => 101920485 B
Invitado => 56961 B

RecycleBin => 4015854 B
EmptyTemp: => 634.2 MB temporary data Removed.

================================


The system needed a reboot.

==== End of Fixlog 14:13:41 ====

Ya no sale mas el mensaje.

Hola @Jaime64

Muy bueno :clap::clap:

Comenta si pudiste instalar los parches o cerrar los puertos???


Prueba el equipo durante el día realizando dos o tres reinicios y vuelves a comentar que tal va.

Salu2

Los parches no pueden ser instalados en este equipo. No he podido cerrar los puertos, no se como hacerlo a través del firewall de Avast, hay un sistema para hacerlo a través del firewall de Windows. Debo desinstalar el Avast, para cerrar el puerto?

Hola @Jaime64

Tienes abiertos los puertos 445 en TCP , y 137 y 138 en UDP según tus imágenes de CMD.

Deberías poder bloquear los puertos desde el mismo Firewall de Avast.

Como desconozco su uso, y como tienes una licencia valida contactate con el Foro de Avast en Español, para que te den los pasos correctos.


Con respecto a nuestro tema y para eliminar las herramientas utilizadas:

Ejecutas >> Delfix, desde tu escritorio.

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7 /8 /10,presiona clic derecho y selecciona >> “Ejecutar como Administrador”)
  • Marca las casilla Remove disinfection tools y Purgue Sistem Restore
  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

Nos comentas si todo esta en orden para dar por Solucionado el tema.

Salu2.

Supongo que pude cerrar los puertos a que haces referencia. Me fuí para -> Cortafuegos -> Opciones -> Politicas ->Reglas del sistema, y alli le di a No Permitir que Windows comparta Archivos e Impresoras

Hola @Jaime64

Para confirmar su los puertos están cerrados, debes ejecutar nuevamente CMD.

Nos comentas.

Salu2

No he podido cerrar los puertos.

Hola @Jaime64

Revisa los pasos del siguiente enlace:

https://www.testdevelocidad.es/2017/05/19/bloquear-puertos-windows/

Salu2

Realicé los pasos indicados, pero no estoy seguro si los puertos se cerraron.

Hola @Jaime64

El puerto 445 aun se encuentra en Listening

Conoces marca y modelo de tu Router, para intentar el bloqueo del puesto desde el?

Salu2

Mi router inhalambrico es un Belkin N 150.

Hola @Jaime64

Disculpa la demora en responderte, estuve investigando tu caso y haciendo pruebas en mi equipo.

No he encontrado la forma de desactivar el puerto desde tu modelo de router.

Investigando un poco el puerto no se desactiva desde los pasos que realizaste por que el Fiewall de Windows esta desactivado por el Firewall de Avast.


Prueba lo siguiente con todos los programas cerrados incluido los navegadores

  • Botón de Inicio >>> escribes Powershell.

  • Sobre Windows Powershell >>> Botón derecho >>> seleccionas Ejecutar como Administrador.

En la consola de Powershell que se abrirá (similar a CMD pero de color Azul), copias y pegas tal cual lo siguiente:

{ $netBTParametersPath = “HKLM:\SYSTEM\CurrentControlSet\Services\NetBT\Parameters” IF(Test-Path -Path $netBTParametersPath) { Set-ItemProperty -Path $netBTParametersPath -Name “SMBDeviceEnabled” -Value 0 } Set-Service lanmanserver -StartupType Disabled Stop-Service lanmanserver -Force }

Esperas a que termine el proceso, al finalizar, reinicias el equipo.

Nuevamente con todos los programas cerrados, ejecutas CMD como Administrador con el siguiente comando:

netstat -an

Ya debería haber desaparecido el puerto 445 en escucha (Listening).

Nos comentas.

Salu2

Pego lo códigos que me indicaste en Poweshell, pero no se inicia ningún proceso. Cuanto tiempo hay que esperar? Hay que darle a algún botón?

Hola @Jaime64

Olvidé mencionartelo presiona Enter.

Es rápido el proceso.

Salu2

Realicé el proceso y aparece este mensaje:

Hola @Jaime64

Si es normal, reinicia y sigue con los demás pasos.

Salu2