Постоянно открывается браузер мозила и там сайт eBasucher.com (Traffic exchange)
Помогите
Постоянно открывается браузер мозила и там сайт eBasucher.com (Traffic exchange)
Помогите
Уважаемый(ая) Trud Nadzor, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Вы уже открывали тему с тем же сервером waspwing.exe, ответ в ней проигнорировали.
Продолжим здесь, а ту закроем? Ответьте тогда здесь на заданный там вопрос об SQL.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
WBR,
Vadim
Да ту тему можно закрыть
есть MS SQL там база данных
Выполните скрипт в uVS:Перезагрузите сервер.Код:;uVS v3.87.1 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 v385c OFFSGNSAVE cexec tools\CreateRestorePoint.exe BeforeCure ; C:\WINDOWS\INF\FONTS\SSMGR.EXE zoo %SystemRoot%\INF\FONTS\SSMGR.EXE addsgn A7679B23536A4C7261D4C4B12DBDEB5476DCAB4E29755F786D387843AFE5B1194B1754173E3162794F09A43ECABF09FA4E0D6162D89F5CC4E5B65BD04C53CECB 21 BAT.DownLoader.83 [DrWeb] ; C:\WINDOWS\INF\BITSLIB\0010\0011\0015\MACHINE\WMISRV.EXE addsgn 6E8C1FC9212B201A5FBCE7DF8CC8120525D247419DFA1F534693ADBC506908242323C35756759C492B68B763B9E9A05181201727DE3633C03D24F2784C7B2AF8 8 Win32:SafeSurf [PUP] [Avast] zoo %SystemRoot%\INF\BITSLIB\0010\0011\0015\MACHINE\WMISRV.EXE ; C:\WINDOWS\MSIEXEC\MSI\WMISRV.EXE zoo %SystemRoot%\MSIEXEC\MSI\WMISRV.EXE ; C:\WINDOWS\INF\SMSVCHOST4.0.3.3\0419\WIN3SVC\NET\WMISRV.EXE zoo %SystemRoot%\INF\SMSVCHOST4.0.3.3\0419\WIN3SVC\NET\WMISRV.EXE ;------------------------autoscript--------------------------- chklst delvir zoo %SystemDrive%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\EXE32\WAHIVER.EXE delall %SystemDrive%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\EXE32\WAHIVER.EXE zoo %SystemDrive%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\EXE32\WASPWING.EXE delall %SystemDrive%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\EXE32\WASPWING.EXE ;------------------------------------------------------------- dirzooex %SystemDrive%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\EXE32 dirzooex %SystemRoot%\INF\SMSVCHOST4.0.3.3\0419\WIN3SVC\NET dirzooex %SystemRoot%\INF\SMSVCHOST4.0.3.3\0419\WIN3SVC dirzooex %SystemRoot%\INF\SMSVCHOST4.0.3.3\0419 dirzooex %SystemRoot%\INF\SMSVCHOST4.0.3.3 dirzooex %SystemRoot%\INF\FONTS zoo %Sys32%\NLS.BAT delall %Sys32%\NLS.BAT zoo %SystemRoot%\INF\NETFRAMEWORK.V3.5\V1.1.4322\ASP.NETWEBADMINFILES\APP_LOCALRESOURCES\SSMS.EXE delall %SystemRoot%\INF\NETFRAMEWORK.V3.5\V1.1.4322\ASP.NETWEBADMINFILES\APP_LOCALRESOURCES\SSMS.EXE zoo %SystemRoot%\INF\ASP.NET_2.5.5.50728\0010\0011\000E\0015\TASKHOSTEX.EXE delall %SystemRoot%\INF\ASP.NET_2.5.5.50728\0010\0011\000E\0015\TASKHOSTEX.EXE zoo %SystemRoot%\INF\FONTS\VDS.EXE delall %SystemRoot%\INF\FONTS\VDS.EXE zoo %SystemRoot%\INF\ASP.NET_2.5.5.50728\0010\0011\000A\0010\VMMS.EXE zoo %SystemRoot%\INF\NETFRAMEWORK.V3.5\V3.5\1049\5.0\WAHIVER.EXE delall %SystemRoot%\INF\ASP.NET_2.5.5.50728\0010\0011\000A\0010\VMMS.EXE delall %SystemRoot%\INF\NETFRAMEWORK.V3.5\V3.5\1049\5.0\WAHIVER.EXE delref %SystemDrive%\WINDOW5\SYSTEM32\SAFESURF.EXE delref %SystemDrive%\WINDOW5\SYSTEM32\SURFGUARD.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\ADOBE\SMSS.EXE delref %SystemRoot%\INF\.NETFRAMEWORK3.5.1\NET\LSASS.EXE delref %SystemRoot%\INF\WEB\FRAMEWORK\TMP\LSASS.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\MICROSOFT\DRM\SMSS.EXE deltmp czoo
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
WBR,
Vadim
лог выполнения скрипта
Карантин по ссылке загружать не надо, выложите на файлообменник/облако и дайте ссылку в личном сообщении.
- - - - -Добавлено - - - - -
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
Сделал
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:CreateRestorePoint: HKLM\...\Command Processor: <======= ATTENTION HKU\S-1-5-18\...\Run: [] => [X] S2 ndshw; C:\Windows\Inf\ASP.NET_2.5.5.50728\0010\0011\000E\0015\mms.exe [X] S2 vdmgr; C:\Windows\Inf\drv\lsm.exe [X] S2 visp; C:\Windows\Inf\Fonts\lsm.exe [X] R2 vlfsc; C:\Windows\Inf\NETLIB\000D\1049\5.0\SQL\lsm.exe [X] S2 vvmms; C:\Windows\Inf\ASP.NET_2.5.5.50728\0010\0011\000A\0010\mms.exe [X] S2 wmdfs; C:\Windows\Inf\BITSLIB\0010\0011\000A\0010\vps.exe [X] StandardProfile\AuthorizedApplications: [C:\Program Files\MPK\MPK.exe] => Enabled:TCP\IP StandardProfile\AuthorizedApplications: [C:\Program Files\MPK\MPKView.exe] => Enabled:TCP\IP Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\jsafesurf" /f C:\DOCUMENTS AND SETTINGS\ALL USERS\MICROSOFT\DRM C:\WINDOWS\INF\BITSLIB C:\WINDOWS\MSIEXEC C:\WINDOWS\INF\SMSVCHOST4.0.3.3\0419\WIN3SVC C:\PROGRAM FILES\WINDOWS NT\ACCESSORIES\EXE32 C:\WINDOWS\INF\SMSVCHOST4.0.3.3\0419\WIN3SVC\NET C:\WINDOWS\INF\NETFRAMEWORK.V3.5 C:\WINDOWS\INF\FONTS\sbscmp10.dll C:\WINDOWS\INF\FONTS\sbscmp20_mscorwks.dll C:\WINDOWS\INF\FONTS\sbscmp20_perfcounter.dll C:\WINDOWS\INF\FONTS\sbs_system.configuration.install.dll C:\WINDOWS\INF\FONTS\sbs_system.data.dll C:\WINDOWS\INF\FONTS\sbs_system.enterpriseservices.dll C:\WINDOWS\INF\FONTS\sbs_VsaVb7rt.dll C:\WINDOWS\INF\FONTS\sbs_wminet_utils.dll C:\WINDOWS\INF\FONTS\SharedReg12.dll 2016-03-03 09:12 - 2015-12-01 08:36 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\MPK
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Если программа потребует перезагрузки - завершите процесс frst.exe и перезагрузите сервер вручную.
WBR,
Vadim
готово
Всё зачистили.
Проредите список администраторов: 16 активных - явный перебор. В большинстве случаев можно дать полные права на отдельные папки и/или ветки реестра, и программы, требующие повышения прав, работают с правами обычного пользователя.
Меняйте пароли всем в пользователям, в первую очередь тем, у кого есть/были администраторские.
MS SQL сервер - также меняйте пароли, проверяйте, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.
Проверьте разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом. Кстати, SQL сервер наружу своими портами не торчит?
Лучше не оставлять для входа по RDP из интернета стандартный порт, а делать перенаправление с какого-либо 5-значного, это отчасти затруднит сканирование и брутфорс.
На мой взгляд, лучше вообще запретить пользователям (да и админам без особой надобности тоже) выходить в интернет с сервера, скачивать, устанавливать и запускать программы, браузеры, это повышает вероятность взлома на порядок. Пользователь должен выходить в интернет со своего компьютера.
Безопасность пользовательских тоже должна быть в полном порядке.
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Рекомендую создать тему в разделе Аудит защищенности персонального компьютера, если хотите сделать более глубокую проверку.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 0
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Trud Nadzor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.