Показано с 1 по 12 из 12.

eBasucher Surfbar (заявка № 198689)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    03.03.2016
    Сообщений
    6
    Вес репутации
    30

    eBasucher Surfbar

    Постоянно открывается браузер мозила и там сайт eBasucher.com (Traffic exchange)
    Помогите
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Trud Nadzor, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Вы уже открывали тему с тем же сервером waspwing.exe, ответ в ней проигнорировали.
    Продолжим здесь, а ту закроем? Ответьте тогда здесь на заданный там вопрос об SQL.

    Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    03.03.2016
    Сообщений
    6
    Вес репутации
    30
    Да ту тему можно закрыть
    есть MS SQL там база данных
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.87.1 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.2
    v385c
    OFFSGNSAVE
    cexec tools\CreateRestorePoint.exe BeforeCure
    ; C:\WINDOWS\INF\FONTS\SSMGR.EXE
    zoo %SystemRoot%\INF\FONTS\SSMGR.EXE
    addsgn A7679B23536A4C7261D4C4B12DBDEB5476DCAB4E29755F786D387843AFE5B1194B1754173E3162794F09A43ECABF09FA4E0D6162D89F5CC4E5B65BD04C53CECB 21 BAT.DownLoader.83 [DrWeb]
    ; C:\WINDOWS\INF\BITSLIB\0010\0011\0015\MACHINE\WMISRV.EXE
    addsgn 6E8C1FC9212B201A5FBCE7DF8CC8120525D247419DFA1F534693ADBC506908242323C35756759C492B68B763B9E9A05181201727DE3633C03D24F2784C7B2AF8 8 Win32:SafeSurf [PUP] [Avast]
    zoo %SystemRoot%\INF\BITSLIB\0010\0011\0015\MACHINE\WMISRV.EXE
    ; C:\WINDOWS\MSIEXEC\MSI\WMISRV.EXE
    zoo %SystemRoot%\MSIEXEC\MSI\WMISRV.EXE
    ; C:\WINDOWS\INF\SMSVCHOST4.0.3.3\0419\WIN3SVC\NET\WMISRV.EXE
    zoo %SystemRoot%\INF\SMSVCHOST4.0.3.3\0419\WIN3SVC\NET\WMISRV.EXE
    
    ;------------------------autoscript---------------------------
    
    chklst
    delvir
    
    zoo %SystemDrive%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\EXE32\WAHIVER.EXE
    delall %SystemDrive%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\EXE32\WAHIVER.EXE
    
    zoo %SystemDrive%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\EXE32\WASPWING.EXE
    delall %SystemDrive%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\EXE32\WASPWING.EXE
    
    ;-------------------------------------------------------------
    dirzooex %SystemDrive%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\EXE32
    dirzooex %SystemRoot%\INF\SMSVCHOST4.0.3.3\0419\WIN3SVC\NET
    dirzooex %SystemRoot%\INF\SMSVCHOST4.0.3.3\0419\WIN3SVC
    dirzooex %SystemRoot%\INF\SMSVCHOST4.0.3.3\0419
    dirzooex %SystemRoot%\INF\SMSVCHOST4.0.3.3
    dirzooex %SystemRoot%\INF\FONTS
    zoo %Sys32%\NLS.BAT
    delall %Sys32%\NLS.BAT
    zoo %SystemRoot%\INF\NETFRAMEWORK.V3.5\V1.1.4322\ASP.NETWEBADMINFILES\APP_LOCALRESOURCES\SSMS.EXE
    delall %SystemRoot%\INF\NETFRAMEWORK.V3.5\V1.1.4322\ASP.NETWEBADMINFILES\APP_LOCALRESOURCES\SSMS.EXE
    zoo %SystemRoot%\INF\ASP.NET_2.5.5.50728\0010\0011\000E\0015\TASKHOSTEX.EXE
    delall %SystemRoot%\INF\ASP.NET_2.5.5.50728\0010\0011\000E\0015\TASKHOSTEX.EXE
    zoo %SystemRoot%\INF\FONTS\VDS.EXE
    delall %SystemRoot%\INF\FONTS\VDS.EXE
    zoo %SystemRoot%\INF\ASP.NET_2.5.5.50728\0010\0011\000A\0010\VMMS.EXE
    zoo %SystemRoot%\INF\NETFRAMEWORK.V3.5\V3.5\1049\5.0\WAHIVER.EXE
    delall %SystemRoot%\INF\ASP.NET_2.5.5.50728\0010\0011\000A\0010\VMMS.EXE
    delall %SystemRoot%\INF\NETFRAMEWORK.V3.5\V3.5\1049\5.0\WAHIVER.EXE
    delref %SystemDrive%\WINDOW5\SYSTEM32\SAFESURF.EXE
    delref %SystemDrive%\WINDOW5\SYSTEM32\SURFGUARD.EXE
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\ADOBE\SMSS.EXE
    delref %SystemRoot%\INF\.NETFRAMEWORK3.5.1\NET\LSASS.EXE
    delref %SystemRoot%\INF\WEB\FRAMEWORK\TMP\LSASS.EXE
    delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\MICROSOFT\DRM\SMSS.EXE
    deltmp
    czoo
    Перезагрузите сервер.

    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
    WBR,
    Vadim

  7. #6
    Junior Member (OID) Репутация
    Регистрация
    03.03.2016
    Сообщений
    6
    Вес репутации
    30
    лог выполнения скрипта
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Карантин по ссылке загружать не надо, выложите на файлообменник/облако и дайте ссылку в личном сообщении.

    - - - - -Добавлено - - - - -

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
    WBR,
    Vadim

  9. #8
    Junior Member (OID) Репутация
    Регистрация
    03.03.2016
    Сообщений
    6
    Вес репутации
    30
    Сделал
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    HKLM\...\Command Processor:  <======= ATTENTION
    HKU\S-1-5-18\...\Run: [] => [X]
    S2 ndshw; C:\Windows\Inf\ASP.NET_2.5.5.50728\0010\0011\000E\0015\mms.exe [X]
    S2 vdmgr; C:\Windows\Inf\drv\lsm.exe [X]
    S2 visp; C:\Windows\Inf\Fonts\lsm.exe [X]
    R2 vlfsc; C:\Windows\Inf\NETLIB\000D\1049\5.0\SQL\lsm.exe [X]
    S2 vvmms; C:\Windows\Inf\ASP.NET_2.5.5.50728\0010\0011\000A\0010\mms.exe [X]
    S2 wmdfs; C:\Windows\Inf\BITSLIB\0010\0011\000A\0010\vps.exe [X]
    StandardProfile\AuthorizedApplications: [C:\Program Files\MPK\MPK.exe] => Enabled:TCP\IP
    StandardProfile\AuthorizedApplications: [C:\Program Files\MPK\MPKView.exe] => Enabled:TCP\IP
    Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\jsafesurf" /f
    C:\DOCUMENTS AND SETTINGS\ALL USERS\MICROSOFT\DRM
    C:\WINDOWS\INF\BITSLIB
    C:\WINDOWS\MSIEXEC
    C:\WINDOWS\INF\SMSVCHOST4.0.3.3\0419\WIN3SVC
    C:\PROGRAM FILES\WINDOWS NT\ACCESSORIES\EXE32
    C:\WINDOWS\INF\SMSVCHOST4.0.3.3\0419\WIN3SVC\NET
    C:\WINDOWS\INF\NETFRAMEWORK.V3.5
    C:\WINDOWS\INF\FONTS\sbscmp10.dll
    C:\WINDOWS\INF\FONTS\sbscmp20_mscorwks.dll
    C:\WINDOWS\INF\FONTS\sbscmp20_perfcounter.dll
    C:\WINDOWS\INF\FONTS\sbs_system.configuration.install.dll
    C:\WINDOWS\INF\FONTS\sbs_system.data.dll
    C:\WINDOWS\INF\FONTS\sbs_system.enterpriseservices.dll
    C:\WINDOWS\INF\FONTS\sbs_VsaVb7rt.dll
    C:\WINDOWS\INF\FONTS\sbs_wminet_utils.dll
    C:\WINDOWS\INF\FONTS\SharedReg12.dll
    2016-03-03 09:12 - 2015-12-01 08:36 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\MPK
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
    Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

    Если программа потребует перезагрузки - завершите процесс frst.exe и перезагрузите сервер вручную.
    WBR,
    Vadim

  11. #10
    Junior Member (OID) Репутация
    Регистрация
    03.03.2016
    Сообщений
    6
    Вес репутации
    30
    готово
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Всё зачистили.

    Проредите список администраторов: 16 активных - явный перебор. В большинстве случаев можно дать полные права на отдельные папки и/или ветки реестра, и программы, требующие повышения прав, работают с правами обычного пользователя.

    Меняйте пароли всем в пользователям, в первую очередь тем, у кого есть/были администраторские.

    MS SQL сервер - также меняйте пароли, проверяйте, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.

    Проверьте разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом. Кстати, SQL сервер наружу своими портами не торчит?
    Лучше не оставлять для входа по RDP из интернета стандартный порт, а делать перенаправление с какого-либо 5-значного, это отчасти затруднит сканирование и брутфорс.

    На мой взгляд, лучше вообще запретить пользователям (да и админам без особой надобности тоже) выходить в интернет с сервера, скачивать, устанавливать и запускать программы, браузеры, это повышает вероятность взлома на порядок. Пользователь должен выходить в интернет со своего компьютера.

    Безопасность пользовательских тоже должна быть в полном порядке.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

    Рекомендую создать тему в разделе Аудит защищенности персонального компьютера, если хотите сделать более глубокую проверку.
    WBR,
    Vadim

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 0
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Trud Nadzor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00476 seconds with 17 queries