safesurf в процессах

[katter]

Здравствуйте, вот основная проблема:

виндовс 2008 r2, в процессах появились какие-то непонятные safesurf и surfguard
компьютер используется как терминальный сервер 1с

спасибо

[Info_bot]

Уважаемый(ая) katter, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Удалите программы IVSWeb 2.0 и My Web Shield.

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\program files (x86)\msbuild\microsoft\windows workflow foundation\v2.5\safesurf.exe');
 TerminateProcessByName('c:\program files (x86)\msbuild\microsoft\windows workflow foundation\v2.5\services.exe');
 TerminateProcessByName('c:\program files (x86)\msbuild\microsoft\windows workflow foundation\v2.5\surfguard.exe');
 StopService('ddns');
 QuarantineFile('c:\program files (x86)\msbuild\microsoft\windows workflow foundation\v2.5\safesurf.exe', '');
 QuarantineFile('c:\program files (x86)\msbuild\microsoft\windows workflow foundation\v2.5\services.exe', '');
 QuarantineFile('c:\program files (x86)\msbuild\microsoft\windows workflow foundation\v2.5\surfguard.exe', '');
 QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\XulFx.dll', '');
 QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\mozglue.dll', '');
 QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\xul.DLL', '');
 QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\nss3.dll', '');
 QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\lgpllibs.dll', '');
 QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\softokn3.dll', '');
 QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\nssdbm3.dll', '');
 QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\freebl3.dll', '');
 QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\nssckbi.dll', '');
 QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\mozavutil.dll', '');
 QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\mozavcodec.dll', '');
 QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\XulFx.Windows.Forms.dll', '');
 QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\libGLESv2.dll', '');
 QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\libEGL.dll', '');
 QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
 QuarantineFile('C:\Program Files (x86)\YiuAskU\871uEsd.dll', '');
 QuarantineFile('C:\Program Files (x86)\YubeAlckU\4EDjuWn.dll', '');
 QuarantineFile('c:\windows\debug\item.dat', '');
 QuarantineFile('c:\windows\debug\ok.dat', '');
 QuarantineFile('C:\Program Files (x86)\YiuAskU2\BY4cTSU.dll', '');
 QuarantineFile('c:\windows\help\lsmosee.exe', '');
 DeleteFile('c:\program files (x86)\msbuild\microsoft\windows workflow foundation\v2.5\safesurf.exe', '32');
 DeleteFile('c:\program files (x86)\msbuild\microsoft\windows workflow foundation\v2.5\services.exe', '32');
 DeleteFile('c:\program files (x86)\msbuild\microsoft\windows workflow foundation\v2.5\surfguard.exe', '32');
 DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\XulFx.dll', '32');
 DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\mozglue.dll', '32');
 DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\xul.DLL', '32');
 DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\nss3.dll', '32');
 DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\lgpllibs.dll', '32');
 DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\softokn3.dll', '32');
 DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\nssdbm3.dll', '32');
 DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\freebl3.dll', '32');
 DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\nssckbi.dll', '32');
 DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\mozavutil.dll', '32');
 DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\mozavcodec.dll', '32');
 DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\XulFx.Windows.Forms.dll', '32');
 DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\libGLESv2.dll', '32');
 DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\f\1\libEGL.dll', '32');
 DeleteFile('C:\WINDOWS\mssecsvc.exe', '32');
 DeleteFile('C:\Program Files (x86)\YiuAskU\871uEsd.dll', '32');
 DeleteFile('C:\~SAMIns.TMP', '32');
 DeleteFile('C:\Program Files (x86)\YubeAlckU\4EDjuWn.dll', '32');
 DeleteFile('c:\windows\debug\item.dat', '32');
 DeleteFile('c:\windows\help\lsmosee.exe', '32');
 DeleteFile('c:\windows\debug\ok.dat', '32');
 DeleteFile('C:\Program Files (x86)\YiuAskU2\BY4cTSU.dll', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk');
 DeleteService('ddns');
 DeleteService('mssecsvc2.0');
 DeleteFileMask('c:\program files (x86)\msbuild', '*', true);
 DeleteFileMask('c:\program files (x86)\yiuasku', '*', true);
 DeleteFileMask('c:\program files (x86)\yubealcku', '*', true);
 DeleteFileMask('c:\program files (x86)\yiuasku2', '*', true);
 DeleteDirectory('c:\program files (x86)\msbuild');
 DeleteDirectory('c:\program files (x86)\yiuasku');
 DeleteDirectory('c:\program files (x86)\yubealcku');
 DeleteDirectory('c:\program files (x86)\yiuasku2');
 ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\At1" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\E3605470-291B-44EB-8648-745EE356599A2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SpyHunter4Startup" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\Mysa1" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\Mysa2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\Mysa3" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\ok" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\U2_2C6A44CB-AD42-4731-A544-3FBD3D83AB5B" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start1');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
end.

Перезагрузите сервер.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

Меняйте пароли на сложные учётных записей, которые имеют право терминального доступа, убирайте права администратора у тех пользователей, которым они на самом деле не нужны.

Ставьте все обновления системы, включая то, которое патчит от нашумевших шифровальщиков WannaCry и Petya - MS17-010: Описание обновления безопасности для Windows SMB Server причём на всех компьютерах в сети. Иначе следующая Ваша тема будет "Зашифровали базы 1С..."