Добрый день. Помогите, пожалуйста, избавиться от вредоносных процессов. Началось все несколько недель назад с появления процесса safesurf. Теперь проскакивает еще и wasppacer. Возможно в в процессе участвует xstarter который запускает все остальное. Антивирусные программы эти файлы вредоносными не считают.
Файлы расположены в папке C:\wmpub\logs\wa. Папка уже около 700 мб.
Как это все вычистить?
Спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Discover, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Скрипт выполнил. После перезагрузки surfguard в процессах остался.
Судя по информации из process explorer "C:\Intel\Web\Microsoft\safesurf.exe" запущен процессом C:\Intel\Web\Microsoft\xStarter\services.exe /startedbyscm:2020FC88-40E2E8D8-srvXStarter
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Сообщение от Discover
Судя по информации из process explorer "C:\Intel\Web\Microsoft\safesurf.exe" запущен процессом C:\Intel\Web\Microsoft\xStarter\services.exe /startedbyscm:2020FC88-40E2E8D8-srvXStarter
Добрый день. Скрипт выполнил, карантин загрузил
Файл сохранён как 130909_071243_2013-09-06_522d74eb650da.zip
Размер файла 438835
MD5 dcec64e327a501041a120f8dec0138a2
Файл закачан, спасибо!
Файла деинсталляции xStarter не обнаружил, но получилось вручную удалить службу xStarter (Windows Tasks Sheduler). Пока подозрительные процессы не появляются.
Странная ситуация с папками c:\intel\ и c:\wmpub\
В проводнике их нет, но при выполнении команды DIR в командной строке их видно, и все содержимое тоже на месте.
Включите просмотр скрытых файлов в проводнике и удалите папки c:\intel, c:\wmpub и c:\wa (если есть) со всем содержимым.
Сделайте новый полный образ автозапуска uVS, зачистим хвосты.
Просмотр скрытых файлов в проводнике включен, все равно каталогов не видно.
Удалить получилось только командами в cmd:
takeown /r /f [папка]
win: rd /s /q [папка]
Образ автозапуска загрузил через карантин.
Файл сохранён как 130909_115217_SERVER_2013-09-09_15-36-53_522db67110dec.zip
Размер файла 768192
MD5 a990281619532dfa34807c4a41ff7e40
Пароли администраторов сменил сразу, но на сервере есть еще rdp пользователи, им всем тоже пароли нужно сменить?
Еще была проблема с тем что сервер был открыт для rdp подключений снаружи, сейчас убрал его за аппаратный vpn.
Ну, если снаружи теперь за VPN, это не так критично. Хотя, смену паролей всем пользователям принято делать регулярно, с интервалом в несколько месяцев максимум.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: