Постоянно открывается браузер мозила и там сайт eBasucher.com (Traffic exchange)
Помогите
Printable View
Постоянно открывается браузер мозила и там сайт eBasucher.com (Traffic exchange)
Помогите
Уважаемый(ая) [B]Trud Nadzor[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Вы уже открывали тему с тем же сервером [URL="http://virusinfo.info/showthread.php?t=197777"]waspwing.exe[/URL], ответ в ней проигнорировали.
Продолжим здесь, а ту закроем? Ответьте тогда здесь на заданный там вопрос об SQL.
Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
Да ту тему можно закрыть
есть MS SQL там база данных
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.87.1 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v385c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
; C:\WINDOWS\INF\FONTS\SSMGR.EXE
zoo %SystemRoot%\INF\FONTS\SSMGR.EXE
addsgn A7679B23536A4C7261D4C4B12DBDEB5476DCAB4E29755F786D387843AFE5B1194B1754173E3162794F09A43ECABF09FA4E0D6162D89F5CC4E5B65BD04C53CECB 21 BAT.DownLoader.83 [DrWeb]
; C:\WINDOWS\INF\BITSLIB\0010\0011\0015\MACHINE\WMISRV.EXE
addsgn 6E8C1FC9212B201A5FBCE7DF8CC8120525D247419DFA1F534693ADBC506908242323C35756759C492B68B763B9E9A05181201727DE3633C03D24F2784C7B2AF8 8 Win32:SafeSurf [PUP] [Avast]
zoo %SystemRoot%\INF\BITSLIB\0010\0011\0015\MACHINE\WMISRV.EXE
; C:\WINDOWS\MSIEXEC\MSI\WMISRV.EXE
zoo %SystemRoot%\MSIEXEC\MSI\WMISRV.EXE
; C:\WINDOWS\INF\SMSVCHOST4.0.3.3\0419\WIN3SVC\NET\WMISRV.EXE
zoo %SystemRoot%\INF\SMSVCHOST4.0.3.3\0419\WIN3SVC\NET\WMISRV.EXE
;------------------------autoscript---------------------------
chklst
delvir
zoo %SystemDrive%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\EXE32\WAHIVER.EXE
delall %SystemDrive%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\EXE32\WAHIVER.EXE
zoo %SystemDrive%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\EXE32\WASPWING.EXE
delall %SystemDrive%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\EXE32\WASPWING.EXE
;-------------------------------------------------------------
dirzooex %SystemDrive%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\EXE32
dirzooex %SystemRoot%\INF\SMSVCHOST4.0.3.3\0419\WIN3SVC\NET
dirzooex %SystemRoot%\INF\SMSVCHOST4.0.3.3\0419\WIN3SVC
dirzooex %SystemRoot%\INF\SMSVCHOST4.0.3.3\0419
dirzooex %SystemRoot%\INF\SMSVCHOST4.0.3.3
dirzooex %SystemRoot%\INF\FONTS
zoo %Sys32%\NLS.BAT
delall %Sys32%\NLS.BAT
zoo %SystemRoot%\INF\NETFRAMEWORK.V3.5\V1.1.4322\ASP.NETWEBADMINFILES\APP_LOCALRESOURCES\SSMS.EXE
delall %SystemRoot%\INF\NETFRAMEWORK.V3.5\V1.1.4322\ASP.NETWEBADMINFILES\APP_LOCALRESOURCES\SSMS.EXE
zoo %SystemRoot%\INF\ASP.NET_2.5.5.50728\0010\0011\000E\0015\TASKHOSTEX.EXE
delall %SystemRoot%\INF\ASP.NET_2.5.5.50728\0010\0011\000E\0015\TASKHOSTEX.EXE
zoo %SystemRoot%\INF\FONTS\VDS.EXE
delall %SystemRoot%\INF\FONTS\VDS.EXE
zoo %SystemRoot%\INF\ASP.NET_2.5.5.50728\0010\0011\000A\0010\VMMS.EXE
zoo %SystemRoot%\INF\NETFRAMEWORK.V3.5\V3.5\1049\5.0\WAHIVER.EXE
delall %SystemRoot%\INF\ASP.NET_2.5.5.50728\0010\0011\000A\0010\VMMS.EXE
delall %SystemRoot%\INF\NETFRAMEWORK.V3.5\V3.5\1049\5.0\WAHIVER.EXE
delref %SystemDrive%\WINDOW5\SYSTEM32\SAFESURF.EXE
delref %SystemDrive%\WINDOW5\SYSTEM32\SURFGUARD.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\ADOBE\SMSS.EXE
delref %SystemRoot%\INF\.NETFRAMEWORK3.5.1\NET\LSASS.EXE
delref %SystemRoot%\INF\WEB\FRAMEWORK\TMP\LSASS.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\MICROSOFT\DRM\SMSS.EXE
deltmp
czoo[/code]
Перезагрузите сервер.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
лог выполнения скрипта
Карантин по ссылке загружать не надо, выложите на файлообменник/облако и дайте ссылку[COLOR="#FF0000"][B] в личном сообщении[/B][/COLOR].
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
Сделал
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
HKLM\...\Command Processor: <======= ATTENTION
HKU\S-1-5-18\...\Run: [] => [X]
S2 ndshw; C:\Windows\Inf\ASP.NET_2.5.5.50728\0010\0011\000E\0015\mms.exe [X]
S2 vdmgr; C:\Windows\Inf\drv\lsm.exe [X]
S2 visp; C:\Windows\Inf\Fonts\lsm.exe [X]
R2 vlfsc; C:\Windows\Inf\NETLIB\000D\1049\5.0\SQL\lsm.exe [X]
S2 vvmms; C:\Windows\Inf\ASP.NET_2.5.5.50728\0010\0011\000A\0010\mms.exe [X]
S2 wmdfs; C:\Windows\Inf\BITSLIB\0010\0011\000A\0010\vps.exe [X]
StandardProfile\AuthorizedApplications: [C:\Program Files\MPK\MPK.exe] => Enabled:TCP\IP
StandardProfile\AuthorizedApplications: [C:\Program Files\MPK\MPKView.exe] => Enabled:TCP\IP
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\jsafesurf" /f
C:\DOCUMENTS AND SETTINGS\ALL USERS\MICROSOFT\DRM
C:\WINDOWS\INF\BITSLIB
C:\WINDOWS\MSIEXEC
C:\WINDOWS\INF\SMSVCHOST4.0.3.3\0419\WIN3SVC
C:\PROGRAM FILES\WINDOWS NT\ACCESSORIES\EXE32
C:\WINDOWS\INF\SMSVCHOST4.0.3.3\0419\WIN3SVC\NET
C:\WINDOWS\INF\NETFRAMEWORK.V3.5
C:\WINDOWS\INF\FONTS\sbscmp10.dll
C:\WINDOWS\INF\FONTS\sbscmp20_mscorwks.dll
C:\WINDOWS\INF\FONTS\sbscmp20_perfcounter.dll
C:\WINDOWS\INF\FONTS\sbs_system.configuration.install.dll
C:\WINDOWS\INF\FONTS\sbs_system.data.dll
C:\WINDOWS\INF\FONTS\sbs_system.enterpriseservices.dll
C:\WINDOWS\INF\FONTS\sbs_VsaVb7rt.dll
C:\WINDOWS\INF\FONTS\sbs_wminet_utils.dll
C:\WINDOWS\INF\FONTS\SharedReg12.dll
2016-03-03 09:12 - 2015-12-01 08:36 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\MPK
[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Если программа потребует перезагрузки - завершите процесс frst.exe и перезагрузите сервер вручную.
готово
Всё зачистили.
Проредите список администраторов: 16 активных - явный перебор. В большинстве случаев можно дать полные права на отдельные папки и/или ветки реестра, и программы, требующие повышения прав, работают с правами обычного пользователя.
Меняйте пароли всем в пользователям, в первую очередь тем, у кого есть/были администраторские.
MS SQL сервер - также меняйте пароли, проверяйте, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.
Проверьте разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом. Кстати, SQL сервер наружу своими портами не торчит?
Лучше не оставлять для входа по RDP из интернета стандартный порт, а делать перенаправление с какого-либо 5-значного, это отчасти затруднит сканирование и брутфорс.
На мой взгляд, лучше вообще запретить пользователям (да и админам без особой надобности тоже) выходить в интернет с сервера, скачивать, устанавливать и запускать программы, браузеры, это повышает вероятность взлома на порядок. Пользователь должен выходить в интернет со своего компьютера.
Безопасность пользовательских тоже должна быть в полном порядке.
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Рекомендую создать тему в разделе [URL="http://virusinfo.info/forumdisplay.php?f=205"]Аудит защищенности персонального компьютера[/URL], если хотите сделать более глубокую проверку.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]0[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]