Здравствуйте, вот основная проблема:
виндовс 2008 r2, в процессах появились какие-то непонятные safesurf и surfguard
компьютер используется как терминальный сервер 1с
спасибо
Printable View
Здравствуйте, вот основная проблема:
виндовс 2008 r2, в процессах появились какие-то непонятные safesurf и surfguard
компьютер используется как терминальный сервер 1с
спасибо
Уважаемый(ая) [B]katter[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Удалите программы IVSWeb 2.0 и My Web Shield.
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\program files (x86)\msbuild\microsoft\windows workflow foundation\v2.5\safesurf.exe');
TerminateProcessByName('c:\program files (x86)\msbuild\microsoft\windows workflow foundation\v2.5\services.exe');
TerminateProcessByName('c:\program files (x86)\msbuild\microsoft\windows workflow foundation\v2.5\surfguard.exe');
StopService('ddns');
QuarantineFile('c:\program files (x86)\msbuild\microsoft\windows workflow foundation\v2.5\safesurf.exe', '');
QuarantineFile('c:\program files (x86)\msbuild\microsoft\windows workflow foundation\v2.5\services.exe', '');
QuarantineFile('c:\program files (x86)\msbuild\microsoft\windows workflow foundation\v2.5\surfguard.exe', '');
QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\XulFx.dll', '');
QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\mozglue.dll', '');
QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\xul.DLL', '');
QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\nss3.dll', '');
QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\lgpllibs.dll', '');
QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\softokn3.dll', '');
QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\nssdbm3.dll', '');
QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\freebl3.dll', '');
QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\nssckbi.dll', '');
QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\mozavutil.dll', '');
QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\mozavcodec.dll', '');
QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\XulFx.Windows.Forms.dll', '');
QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\libGLESv2.dll', '');
QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\libEGL.dll', '');
QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
QuarantineFile('C:\Program Files (x86)\YiuAskU\871uEsd.dll', '');
QuarantineFile('C:\Program Files (x86)\YubeAlckU\4EDjuWn.dll', '');
QuarantineFile('c:\windows\debug\item.dat', '');
QuarantineFile('c:\windows\debug\ok.dat', '');
QuarantineFile('C:\Program Files (x86)\YiuAskU2\BY4cTSU.dll', '');
QuarantineFile('c:\windows\help\lsmosee.exe', '');
DeleteFile('c:\program files (x86)\msbuild\microsoft\windows workflow foundation\v2.5\safesurf.exe', '32');
DeleteFile('c:\program files (x86)\msbuild\microsoft\windows workflow foundation\v2.5\services.exe', '32');
DeleteFile('c:\program files (x86)\msbuild\microsoft\windows workflow foundation\v2.5\surfguard.exe', '32');
DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\XulFx.dll', '32');
DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\mozglue.dll', '32');
DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\xul.DLL', '32');
DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\nss3.dll', '32');
DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\lgpllibs.dll', '32');
DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\softokn3.dll', '32');
DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\nssdbm3.dll', '32');
DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\freebl3.dll', '32');
DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\nssckbi.dll', '32');
DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\mozavutil.dll', '32');
DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\mozavcodec.dll', '32');
DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\XulFx.Windows.Forms.dll', '32');
DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\libGLESv2.dll', '32');
DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\libEGL.dll', '32');
DeleteFile('C:\WINDOWS\mssecsvc.exe', '32');
DeleteFile('C:\Program Files (x86)\YiuAskU\871uEsd.dll', '32');
DeleteFile('C:\~SAMIns.TMP', '32');
DeleteFile('C:\Program Files (x86)\YubeAlckU\4EDjuWn.dll', '32');
DeleteFile('c:\windows\debug\item.dat', '32');
DeleteFile('c:\windows\help\lsmosee.exe', '32');
DeleteFile('c:\windows\debug\ok.dat', '32');
DeleteFile('C:\Program Files (x86)\YiuAskU2\BY4cTSU.dll', '32');
DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk');
DeleteService('ddns');
DeleteService('mssecsvc2.0');
DeleteFileMask('c:\program files (x86)\msbuild', '*', true);
DeleteFileMask('c:\program files (x86)\yiuasku', '*', true);
DeleteFileMask('c:\program files (x86)\yubealcku', '*', true);
DeleteFileMask('c:\program files (x86)\yiuasku2', '*', true);
DeleteDirectory('c:\program files (x86)\msbuild');
DeleteDirectory('c:\program files (x86)\yiuasku');
DeleteDirectory('c:\program files (x86)\yubealcku');
DeleteDirectory('c:\program files (x86)\yiuasku2');
ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\At1" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\E3605470-291B-44EB-8648-745EE356599A2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SpyHunter4Startup" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\Mysa1" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\Mysa2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\Mysa3" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\ok" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\U2_2C6A44CB-AD42-4731-A544-3FBD3D83AB5B" /F', 0, 15000, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start1');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
end.[/code]Перезагрузите сервер.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
Меняйте пароли на сложные учётных записей, которые имеют право терминального доступа, убирайте права администратора у тех пользователей, которым они на самом деле не нужны.
Ставьте все обновления системы, включая то, которое патчит от нашумевших шифровальщиков WannaCry и Petya - [URL="https://support.microsoft.com/ru-ru/help/4012598/title"]MS17-010: Описание обновления безопасности для Windows SMB Server[/URL] причём на всех компьютерах в сети. Иначе следующая Ваша тема будет "Зашифровали базы 1С..."