Здравствуйте! Помогите, пожалуйста вычистить с сервера вирус, который устанавливает wasppacer и safesurf. Windows Server 2003 Standart. Заметил в процессах wasppacer и safesurf. Wasppacer вроде удалил вручную, но вполне вероятно, что какие-то следы остались, а вот safesurf совсем не получилось. Связался с их тех.поддержкой, они аккаунт злоумышленника заблокировали, программа не загружается, но вирус-то остался
Логи:
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Frankovets, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\RECYCLER\S-1-5-21-664997554-594091240-2026364968-1920\csrss.exe','');
QuarantineFile('C:\RECYCLER\winlogon.exe','');
TerminateProcessByName('c:\intel\web\microsoft\services.exe');
QuarantineFile('c:\intel\web\microsoft\services.exe','');
TerminateProcessByName('c:\intel\web\microsoft\safesurf.exe');
QuarantineFile('c:\intel\web\microsoft\safesurf.exe','');
DeleteFile('c:\intel\web\microsoft\safesurf.exe','32');
DeleteFile('c:\intel\web\microsoft\services.exe','32');
DeleteFile('C:\RECYCLER\winlogon.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows NT Logon Application','command');
DeleteFile('C:\RECYCLER\S-1-5-21-664997554-594091240-2026364968-1920\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Session Manager','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Компьютер перезагрузите вручную.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Огромное спасибо за оперативный ответ! Приношу свои извинения, что я не могу быть столь же оперативен, хотя помощь требуется мне. Прикладываю новые логи и карантин. Полное сканирование MBAM сделать не удалось - отказано в доступе к файлу, хотя работаю под учеткой админа. Это может быть следствием вирусной атаки?
- - - Добавлено - - -
И еще нескромный вопрос: если процесс затянется, а такое впечатление, что к этому и идет, то есть ли хоть какая-то вероятность, что Вы сможете уделить сколько-нибудь времени этой теме в предстоящие праздничные выходные? Я бы тогда аргументированно смог забрать сервер домой, а там - если будет у Вас время, то хорошо, а нет - так ничего страшного за это время не случится.
Отказано в доступе к файлу mbam.exe, что-то его сразу блокирует (он даже вручную не удаляется после анинсталла программы), если быстрое сканирование запускается другим файлом, то могу сделать.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: