Показано с 1 по 18 из 18.

safesurf.exe и surfguard.exe [not-a-virus:NetTool.Win32.Wasppace.l ] (заявка № 166728)

  1. #1
    Junior Member Репутация
    Регистрация
    30.07.2014
    Сообщений
    34
    Вес репутации
    9

    safesurf.exe и surfguard.exe [not-a-virus:NetTool.Win32.Wasppace.l ]

    Добрый день.
    Появились такие процессы.
    Win server 2003 x64 sp2.
    Помогите побороть.Вложение 495183Вложение 495184Вложение 495182
    Последний раз редактировалось atataMen; 17.09.2014 в 11:47.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,266
    Вес репутации
    327
    Уважаемый(ая) atataMen, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,828
    Вес репутации
    780
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('c:\intel\web\microsoft\surfguard.exe');
     TerminateProcessByName('c:\intel\web\microsoft\services.exe');
     TerminateProcessByName('c:\intel\web\microsoft\safesurf.exe');
     QuarantineFile('C:\RECYCLER\Windows\winlogon.exe','');
     QuarantineFile('c:\intel\web\microsoft\surfguard.exe','');
     QuarantineFile('c:\intel\web\microsoft\services.exe','');
     QuarantineFile('c:\intel\web\microsoft\safesurf.exe','');
     DeleteFile('c:\intel\web\microsoft\safesurf.exe','32');
     DeleteFile('c:\intel\web\microsoft\services.exe','32');
     DeleteFile('c:\intel\web\microsoft\surfguard.exe','32');
     DeleteFile('C:\Intel\Web\Microsoft\f\1\freebl3.dll','32');
     DeleteFile('C:\Intel\Web\Microsoft\f\1\gkmedias.dll','32');
     DeleteFile('C:\Intel\Web\Microsoft\f\1\mozalloc.dll','32');
     DeleteFile('C:\Intel\Web\Microsoft\f\1\mozglue.dll','32');
     DeleteFile('C:\Intel\Web\Microsoft\f\1\mozjs.dll','32');
     DeleteFile('C:\Intel\Web\Microsoft\f\1\nss3.dll','32');
     DeleteFile('C:\Intel\Web\Microsoft\f\1\nssckbi.dll','32');
     DeleteFile('C:\Intel\Web\Microsoft\f\1\nssdbm3.dll','32');
     DeleteFile('C:\Intel\Web\Microsoft\f\1\softokn3.dll','32');
     DeleteFile('C:\Intel\Web\Microsoft\f\1\xul.dll','32');
     DeleteFile('C:\Intel\Web\Microsoft\Geckofx-Core.dll','32');
     DeleteFile('C:\Intel\Web\Microsoft\Geckofx-Winforms.dll','32');
     DeleteFile('C:\RECYCLER\Windows\winlogon.exe','32');
     DeleteFileMask('C:\Intel','*',true);
     DeleteDirectory('C:\Intel');
    ExecuteSysClean;
    end.
    Перезагрузите сервер вручную.

    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    30.07.2014
    Сообщений
    34
    Вес репутации
    9
    карантин выслал, автозагрузка не влезает, весит 627 кб

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,828
    Вес репутации
    780
    Удалите старые вложения, либо загрузите на rghost.ru и дайте ссылку в теме.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    30.07.2014
    Сообщений
    34
    Вес репутации
    9
    теперь у терминальных пользователей ошибка при входе "windows не удалось выполнить ваш вход в систему"

    - - - - -Добавлено - - - - -

    Вложение 495199

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,828
    Вес репутации
    780
    Старые вложения - имелись ввиду по предыдущим темам, не по этой. Теперь здесь не понять, с чего всё начиналось.

    Скрипт никакие службы системные не трогал, что-то сами меняли в настройках, удаляли?

    Ссылку на Universal Virus Sniffer я специально дал, чтобы Вы скачали актуальную версию. Образ сделан в старой бета-версии с ошибками, для дальнейших действий скачайте по моей ссылке.

    Выполните скрипт в uVS:
    Код:
    ;uVS v3.83.1 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.2
    v383c
    zoo %SystemRoot%\ADFS\CTFMON.EXE
    delall %SystemRoot%\ADFS\CTFMON.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\DIСHECKER_1.8.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\DIСHECKER_1.8.EXE
    zoo %SystemDrive%\INTEL\WEB\MICROSOFT\SERVICES.EXE
    delall %SystemDrive%\INTEL\WEB\MICROSOFT\SERVICES.EXE
    zoo %SystemDrive%\RECYCLER\WA.VBS
    delall %SystemDrive%\RECYCLER\WA.VBS
    zoo %SystemDrive%\RECYCLER\WASPPACER.EXE
    delall %SystemDrive%\RECYCLER\WASPPACER.EXE
    zoo %SystemDrive%\INTEL\WEB\MICROSOFT\SAFESURF.EXE
    delall %SystemDrive%\INTEL\WEB\MICROSOFT\SAFESURF.EXE
    zoo %SystemDrive%\INTEL\WEB\MICROSOFT\SURFGUARD.EXE
    delall %SystemDrive%\INTEL\WEB\MICROSOFT\SURFGUARD.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\DONTGODEDIC.BAT
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\DONTGODEDIC.BAT
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\TERM1\МОИ ДОКУМЕНТЫ\GN\GN_REF_CONTROL_2.EXE
    dirzoo %Sys32%\RAS\WINLOGO
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\TERM1\МОИ ДОКУМЕНТЫ\LOIC.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\TERM1\МОИ ДОКУМЕНТЫ\LOIC.EXE
    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\PROXYHUNTER31B1\PROXYHUNTER.EXE
    delall %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\PROXYHUNTER31B1\PROXYHUNTER.EXE
    deldir %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG
    deldir %SystemDrive%\INTEL\WEB
    zoo %SystemRoot%\ADFS\TASKMGR.EXE
    delall %SystemRoot%\ADFS\TASKMGR.EXE
    zoo %Sys32%\1031\TN.EXE
    delall %Sys32%\1031\TN.EXE
    zoo %Sys32%\1031\X.EXE
    delall %Sys32%\1031\X.EXE
    czoo
    deltmp
    и перезагрузите сервер.
    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Сделайте экспорт журнала событий "Безопасность", загрузите на rghost.ru и дайте ссылку в личном сообщении. Там же укажите внешний ip адрес шлюза, через который выходите в интернет, буду прооверять на вероятность взлома.

    - - - - -Добавлено - - - - -

    Меры против взлома надо принять как организационные, так и технические.

    1. Сменить пароли на учётки с администраторскими правами, у кого они были не по делу - отобрать права администратора.

    2. На средства удалённого доступа к серверу, если таковые установлены (Radmin и т. п.), также менять пароли, обновлять до последних версий эти программы.

    2. MS SQL сервер - также менять пароли, проверять, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.

    3. Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.

    4. Включить в антивирусе противодействие потенциально нежелательным программам (ПНП/PUP). В корпоративной версии Касперского это точно должно быть.

    5. Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.

    Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    30.07.2014
    Сообщений
    34
    Вес репутации
    9
    You may only post 5 messages every 1440 minutes..... печаль.

    в общем в марте-мае 2013 вскрыли на дедик, адрес есть в инете, может поэтому досих пор перебирают.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,828
    Вес репутации
    780
    Меняйте ip, это лучший выход.
    Перенесите, если есть возможность, сервисы, которые нужны для доступа извне, на нестандартные порты где-то за 40-50 тысяч. Например, по RDP пусть заходят снаружи на ip:56789 (к примеру). Это, если есть возможность на роутере сделать перенаправление портов.

    Сделайте полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    30.07.2014
    Сообщений
    34
    Вес репутации
    9

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,828
    Вес репутации
    780
    Апач, надеюсь, ваш крутится на сервере? Или тоже подсажен?

    И это C:\PROGRAM FILES (X86)\L'OREAL RUSSIA - ваше?

    Выполните скрипт в uVS:
    Код:
    ;uVS v3.83.1 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.2
    v383c
    delref %SystemDrive%\RECYCLER\WINDOWS\WINLOGON.EXE
    delref %SystemDrive%\DOCUME~1\MNBESP~1\LOCALS~1\TEMP\UNKIS.VBS
    delref %SystemRoot%\SYSWOW64\LSASS.EXE
    deldir %Sys32%\RAS\WINLOGO
    deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\TERM1\МОИ ДОКУМЕНТЫ\GN
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\СВЕТА\APPLICATION DATA\MAIL.RU\AGENT\MRA\DLL\NEWMRASEARCH.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\SPUTNIK\SPUTNIKHELPER.EXE
    Перезагружать сервер не к спеху, можно, как нужда будет.

    Ещё момент важный. Пользователи, работающие в терминальном режиме, не должны ни в коем случае:

    иметь администраторских прав;
    устанавливать какие-либо программы на сервере, даже в своём профиле;
    выходить в интернет с сервера, пусть делают это со своих компьютеров.

    Соответственно, на сервере не должно быть никаких браузеров кроме IE, icq, майлрушных агентов и т. п. Пользователей жёстко ограничить политиками.
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    30.07.2014
    Сообщений
    34
    Вес репутации
    9
    апач мой, лореаль тоже.
    после uVS вечно терминальники слетают.
    сейчас 2 тонких подключено, поэтому интернет пока используется (знаю что очень опасно, вдалбливаю руководству что необходимы отдельные компы)

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,828
    Вес репутации
    780
    Тогда, как будет возможность перегрузить, скрипт выполните.
    На момент повторного образа автозапуска левоты в процессах не было.
    WBR,
    Vadim

  15. #14
    Junior Member Репутация
    Регистрация
    30.07.2014
    Сообщений
    34
    Вес репутации
    9
    автозапуск потом присылать ?

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,828
    Вес репутации
    780
    Если будут опять левые процессы, или подозрения. Активного ничего не было уже.
    WBR,
    Vadim

  17. Vvvyg получил(а) благодарность за это сообщение от


  18. #16
    Junior Member Репутация
    Регистрация
    30.07.2014
    Сообщений
    34
    Вес репутации
    9
    Вот по этому пути
    C:\Documents and Settings\***\Local Settings\Application Data
    у некоторых пользователей есть папка Waspace, с 2 файлами, их руками удалять ?

  19. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,828
    Вес репутации
    780
    Удалите, и новый полный образ автозапуска для контроля.
    WBR,
    Vadim

  20. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 27
    • В ходе лечения обнаружены вредоносные программы:
      1. \wasppacer.exe._7610d64a21ef562b998f4298fd7219ef11 eafcdd - not-a-virus:NetTool.Win32.Wasppace.l ( DrWEB: Tool.Wasppacer.2 )


  • Уважаемый(ая) atataMen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. SafeSurf + SurfGuard
      От Stasevic в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.09.2014, 17:54
    2. Опять они! surfguard.exe, safesurf.exe!
      От andy60rus в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 09.10.2013, 14:29
    3. Удалить процессы surfguard.exe и safesurf.exe
      От andy60rus в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 20.09.2013, 12:20
    4. surfguard.exe (заявка №32018)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 23.01.2011, 12:00
    5. процессы safesurf и surfguard
      От remixex в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 09.10.2010, 13:53

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01478 seconds with 21 queries