-
Junior Member
- Вес репутации
- 50
процессы safesurf и surfguard
Здравствуйте!
Помогите с проблемой удаления процессов surfguard.exe и safesurf.exe
Как появились, не знаю. Никакого подобного/похожего ПО не устанавливал.
Их файлы находятся в папке "C:\WINDOWS\system32\drivers" После того, как убиваю их в диспетчере задач и удаляю сами файлы, появляются снова и опять лезут в процессы, здорово загружая систему. Логи прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\NETPRO~1\PAGEPR~1\PAGEPR~1.EXE','');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
DeleteService('ksi32sk');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
DeleteService('fips32cup');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati1iwxx.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7waxx.sys','');
DeleteService('ati7waxx');
DeleteService('ati64si');
DeleteService('ati1iwxx');
QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
DeleteService('acpi32');
QuarantineFile('C:\WINDOWS\system32\adsmsexti.exe','');
QuarantineFile('C:\WINDOWS\system32\1049n.exe','');
DeleteService('AudioSrvCryptSvc');
SetServiceStart('Win_Updater', 4);
DeleteService('Win_Updater');
TerminateProcessByName('c:\windows\system32\system\svchost.exe');
QuarantineFile('c:\windows\system32\system\svchost.exe','');
TerminateProcessByName('c:\windows\system32\drivers\surfguard.exe');
QuarantineFile('c:\windows\system32\drivers\surfguard.exe','');
TerminateProcessByName('c:\windows\system32\drivers\safesurf.exe');
QuarantineFile('c:\windows\system32\drivers\safesurf.exe','');
DeleteFile('c:\windows\system32\drivers\safesurf.exe');
DeleteFile('c:\windows\system32\drivers\surfguard.exe');
DeleteFile('c:\windows\system32\system\svchost.exe');
DeleteFile('C:\WINDOWS\system32\1049n.exe');
DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7waxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1iwxx.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
после перезагрузки, файлы снова присутствуют в процессах
карантин закачал, туда слился только один файл, остальные почему то не пошли
логи прикрепляю
Последний раз редактировалось remixex; 06.10.2010 в 15:23.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
ComboFix начинает выполняться и тут же перезагружается компьютер. В корне диска C, лог не создаёт. Выполнял его по всем правилам (антивирус/файрвол отключен, браузеры закрыты).
Между тем удалил программу PagePromoter (прога стояла больше года, ранее ничего криминального не замечалось), файл которой был в подозрительных у AVZ, снова убил процессы safesurf и surfguard и почистил их файлы в папке system32\drivers, вручную. До этого NOD'овским файрволом создал правило, запрещающее активность safesurf и surfguard. Активность пропала, процессы пока не появляются.
-
В безопасном режиме лог попробуйте сделать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
в безопасном режиме получилось, прикрепил
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\drivers\safesurf.exe
Driver::
Folder::
c:\program files\Safe Surfing Removal Tool
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1iwxx.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7waxx.sys]
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
новый отчет сделать не получилось..как только написал, что формирует отчет, компьютер ушел на перезагрузку. скрипт он выполнил, во время выполнения успел увидеть, что удалено всё, что было перечислено в скрипте. этих файлов больше не наблюдаю
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-