Показано с 1 по 3 из 3.

Не убиваются процессы SecureSurf.Browser.Shel, SecureSurf.Browser.Client, WaspAce Hive и периодически запускается rserver (заявка № 204081)

  1. #1
    Junior Member Репутация
    Регистрация
    18.09.2016
    Сообщений
    2
    Вес репутации
    2

    Не убиваются процессы SecureSurf.Browser.Shel, SecureSurf.Browser.Client, WaspAce Hive и периодически запускается rserver

    Здравствуйте. Попался в наследство сервер.

    Сейчас не убиваются процессы:
    SecureSurf.Browser.Shel
    SecureSurf.Browser.Client
    WaspAce Hiver
    Периодически сам запускается rserver из папки C:\Windows\SysWOW64\rserver30
    Может быть есть ещё что-то, чего я пока не заметил...

    Был скрытый (через реестр HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Winlogon\SpecialAccounts\UserList) админ-пользователь, сидевший через RDP, которого я удалил. Под пользователем запускались сканеры портов и firefox.

    Усугубляется тем, что на сервере крутятся две базы, и останавливать его крайне нежелательно.
    Также, сервер не рядом (физически доступен, но с определенными трудностями)

    Прошу помощи. Есть подозрение, что кто-то может опять получить админский доступ через RDP или radmin..

    Роман.
    Вложения Вложения
    Последний раз редактировалось Roman13465; 18.09.2016 в 06:59.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,262
    Вес репутации
    329
    Уважаемый(ая) Roman13465, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,983
    Вес репутации
    784
    Сразу предупреждаю: без перезагрузки сервера не обойтись.

    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('c:\program files\common files\microsoft shared\system\gecko\securesurf.browser.client.exe');
     TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\services.exe');
     TerminateProcessByName('c:\programdata\microsoft\drm\smss.exe');
     TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\wahiver.exe');
     TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\wasp.exe');
     TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\waspwing.exe');
     TerminateProcessByName('c:\program files\common files\microsoft shared\system\webisida.browser.exe');
     StopService('WindowsDefender');
     QuarantineFile('c:\program files\common files\microsoft shared\system\gecko\securesurf.browser.client.exe', '');
     QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe', '');
     QuarantineFile('c:\programdata\microsoft\drm\smss.exe', '');
     QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\wahiver.exe', '');
     QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\wasp.exe', '');
     QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\waspwing.exe', '');
     QuarantineFile('c:\program files\common files\microsoft shared\system\webisida.browser.exe', '');
     QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\System\settings.exe', '');
     DeleteFile('c:\program files\common files\microsoft shared\system\gecko\securesurf.browser.client.exe', '32');
     DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe', '32');
     DeleteFile('c:\programdata\microsoft\drm\smss.exe', '32');
     DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\wahiver.exe', '32');
     DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\wasp.exe', '32');
     DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\waspwing.exe', '32');
     DeleteFile('c:\program files\common files\microsoft shared\system\webisida.browser.exe', '32');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\gecko\SecureSurf.dll', '32');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\gecko\XulFx.dll', '32');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\gecko\XulFx.Windows.Forms.dll', '32');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\gecko\Capinet.dll', '32');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\gecko\xul.dll', '32');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\gecko\nss3.dll', '32');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\gecko\mozglue.dll', '32');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\gecko\icuin52.dll', '32');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\gecko\icuuc52.dll', '32');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\gecko\icudt52.dll', '32');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\gecko\sandboxbroker.dll', '32');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\gecko\mozalloc.dll', '32');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\gecko\MemIPC.dll', '32');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\gecko\protobuf-net.dll', '32');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\gecko\softokn3.dll', '32');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\gecko\nssdbm3.dll', '32');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\gecko\freebl3.dll', '32');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\gecko\nssckbi.dll', '32');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\gecko\System.Data.SQLite.dll', '32');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\settings.exe', '32');
     DeleteService('WindowsDefender');
     DeleteFileMask('c:\program files\common files\microsoft shared\system\gecko', '*', true);
     DeleteFileMask('c:\documents and settings\all users\microsoft\drm\wa', '*', true);
     DeleteFileMask('c:\program files\common files\microsoft shared\system', '*', true);
     DeleteDirectory('c:\program files\common files\microsoft shared\system\gecko');
     DeleteDirectory('c:\documents and settings\all users\microsoft\drm\wa');
     DeleteDirectory('c:\program files\common files\microsoft shared\system');
     ExecuteFile('schtasks.exe', '/delete /TN "Adobe Reader" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateTaskMashine" /F', 0, 15000, true);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
    end.
    Перезагрузите сервер.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

Присоединяйтесь к нам в соцсетях!

Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

Похожие темы

  1. SecureSurf.Browser.Client
    От robky в разделе Помогите!
    Ответов: 12
    Последнее сообщение: 06.09.2016, 06:02
  2. Процессы SecureSurf.Browser.Client и SecureSurf.Browser.Shell
    От kreatiffchik в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 21.03.2016, 12:08
  3. Ответов: 18
    Последнее сообщение: 25.02.2016, 21:20
  4. Webisida.Browser.exe, SecureSurf.Browser.Client.exe
    От gazic1 в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 16.04.2015, 01:44
  5. Процессы Wasppacer, Waspace, safesurf, securesurf и т.д.
    От Александр Дрёмов в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 21.02.2014, 01:12

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00906 seconds with 21 queries