Добрый день!
Пож-та, помогите избавиться от этой дряни.
собрал данные согласно инструкции
Добрый день!
Пож-та, помогите избавиться от этой дряни.
собрал данные согласно инструкции
Уважаемый(ая) [B]sinhro1202[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\windows\fonts\s\svchost.exe');
TerminateProcessByName('c:\windows\fonts\s\www\gecko\plugin-container.exe');
TerminateProcessByName('c:\windows\fonts\s\www\gecko\securesurf.browser.client.exe');
TerminateProcessByName('c:\windows\fonts\s\www\webisida.browser.exe');
StopService('Windows Terminal Service Control (managed by AlwaysUpService)');
QuarantineFile('C:\Windows\Fonts\reg.exe', '');
QuarantineFile('C:\Windows\Fonts\s\AlwaysUpServiceAssistant.dll', '');
QuarantineFile('c:\windows\fonts\s\svchost.exe', '');
QuarantineFile('c:\windows\fonts\s\www\gecko\plugin-container.exe', '');
QuarantineFile('c:\windows\fonts\s\www\gecko\securesurf.browser.client.exe', '');
QuarantineFile('C:\windows\fonts\s\www\gecko\SecureSurf.dll', '');
QuarantineFile('c:\windows\fonts\s\www\webisida.browser.exe', '');
QuarantineFile('C:\Windows\Fonts\se.exe', '');
QuarantineFile('C:\Windows\svchost.exe', '');
DeleteFile('C:\Windows\Fonts\reg.exe', '');
DeleteFile('C:\Windows\Fonts\s\AlwaysUpServiceAssistant.dll', '');
DeleteFile('c:\windows\fonts\s\svchost.exe', '');
DeleteFile('C:\windows\fonts\s\www\gecko\browser\plugins\NPSWF32_32_0_0_142.dll', '');
DeleteFile('C:\windows\fonts\s\www\gecko\Capinet.dll', '');
DeleteFile('C:\windows\fonts\s\www\gecko\freebl3.dll', '');
DeleteFile('C:\windows\fonts\s\www\gecko\lgpllibs.dll', '');
DeleteFile('C:\windows\fonts\s\www\gecko\libEGL.dll', '');
DeleteFile('C:\windows\fonts\s\www\gecko\libGLESv2.dll', '');
DeleteFile('C:\windows\fonts\s\www\gecko\MemIPC.dll', '');
DeleteFile('C:\windows\fonts\s\www\gecko\mozavcodec.dll', '');
DeleteFile('C:\windows\fonts\s\www\gecko\mozavutil.dll', '');
DeleteFile('C:\windows\fonts\s\www\gecko\mozglue.dll', '');
DeleteFile('C:\windows\fonts\s\www\gecko\nss3.dll', '');
DeleteFile('C:\windows\fonts\s\www\gecko\nssckbi.dll', '');
DeleteFile('C:\windows\fonts\s\www\gecko\nssdbm3.dll', '');
DeleteFile('c:\windows\fonts\s\www\gecko\plugin-container.exe', '');
DeleteFile('c:\windows\fonts\s\www\gecko\securesurf.browser.client.exe', '');
DeleteFile('C:\windows\fonts\s\www\gecko\SecureSurf.dll', '');
DeleteFile('C:\windows\fonts\s\www\gecko\softokn3.dll', '');
DeleteFile('C:\windows\fonts\s\www\gecko\xul.dll', '');
DeleteFile('C:\windows\fonts\s\www\gecko\XulFx.dll', '');
DeleteFile('C:\windows\fonts\s\www\gecko\XulFx.Windows.Forms.dll', '');
DeleteFile('c:\windows\fonts\s\www\webisida.browser.exe', '');
DeleteFile('C:\Windows\Fonts\se.exe', '');
DeleteFile('C:\Windows\svchost.exe', '');
DeleteService('Windows Terminal Service Control (managed by AlwaysUpService)');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
end.[/code]Перезагрузите сервер.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
Вадим, все собрал как просили и выложил.
Порядок. Как заполучили эту дрянь идеи есть?
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.
Как он пробрался не знаю, пользователь пожаловался, что войти не может по rdp на сервер. Вирус нагружал процессор на 100%.
Возможно через уязвимость windows залили.
Я когда первоначально шарил по его процессам, обнаружил директорию с readme файлом в котором описывались параметры запуска скрипта и пожелание удачного брутфорса. Я болван удалил эту директорию, а нужно было оставить...
О, там даже патч MS17-010 от 2017 года, закрывающий опаснейшую уязвимость, которую используют многие майнеры и шифровальщики не установлен...
А есть ещё [URL="https://habr.com/ru/company/solarsecurity/blog/451864/"]уязвимость в службе терминалов[/URL], с помощью которой активно взламывают компьютеры под Windows.
Обновляйтесь по ссылкам из avz_log.txt и статьи, а лучше - по полной программе в автоматическом режиме.
Понял, спасибо за помощь!
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]1[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]9[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB[/LIST]