Webisida.Browser.exe, SecureSurf.Browser.Client.exe и Safesurf.exe на сервере терминалов [not-a-virus:RiskTool.MSIL.Sidaweb.q
]
Операционная система: Windows Server 2008x64 , является сервером терминалов.Заметил в диспетчере задач процессы Webisida.Brows, SecureSurf.Browser.Client.exe и Safesurf.exe по учётной записью SYSTEM. При завершении вручную через несколько десятков минут появляется снова. Антивирусы нашли только пару троянов, данные приложения определяют как потенциально опасные но после лечения они опять появляются
Файл логов во вложении
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Petrov1c, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Перезагрузите сервер.Код:begin TerminateProcessByName('c:\windows\fonts\.{2e095dd0-af56-47e4-a099-eac038decc24}\wsb.exe'); TerminateProcessByName('c:\windows\inf\.netframework3.5sp1\0009\v1.1.4322\asp.netwebadminfiles\app_localresources\ctfmon.exe'); TerminateProcessByName('c:\windows\syswow64\config\systemprofile\appdata\roaming\webisida\webisida.browser.exe'); QuarantineFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\services.exe', ''); QuarantineFile('C:\Windows\Fonts\.{2E095DD0-AF56-47E4-A099-EAC038DECC24}\jws.vbs', ''); QuarantineFile('c:\windows\fonts\.{2e095dd0-af56-47e4-a099-eac038decc24}\wsb.exe', ''); QuarantineFile('C:\Windows\Fonts\taskhots.exe', ''); QuarantineFile('c:\windows\inf\.netframework3.5sp1\0009\v1.1.4322\asp.netwebadminfiles\app_localresources\ctfmon.exe', ''); QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe', ''); QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe', ''); QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', ''); QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', ''); QuarantineFile('C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Webisida\gecko\MemIPC.dll', ''); QuarantineFile('c:\windows\syswow64\config\systemprofile\appdata\roaming\webisida\webisida.browser.exe', ''); DeleteFile('C:\Program Files (x86)\MSBuild\Microsoft\Windows Workflow Foundation\v2.5\services.exe', '32'); DeleteFile('C:\Windows\Fonts\.{2E095DD0-AF56-47E4-A099-EAC038DECC24}\jws.vbs', '32'); DeleteFile('c:\windows\fonts\.{2e095dd0-af56-47e4-a099-eac038decc24}\wsb.exe', '32'); DeleteFile('C:\Windows\Fonts\taskhots.exe', '32'); DeleteFile('c:\windows\inf\.netframework3.5sp1\0009\v1.1.4322\asp.netwebadminfiles\app_localresources\ctfmon.exe', '32'); DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe', '32'); DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe', '32'); DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '32'); DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '32'); DeleteFile('C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Webisida\gecko\MemIPC.dll', '32'); DeleteFile('c:\windows\syswow64\config\systemprofile\appdata\roaming\webisida\webisida.browser.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "Net" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "WindowsControlParental" /F', 0, 15000, true); DeleteService('ddns'); DeleteService('spoolsrvrs'); DeleteService('wcvvses'); DeleteService('werlsfks'); DeleteService('wscsvs'); DeleteFileMask('c:\windows\inf\.netframework3.5sp1', '*', true); DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true); DeleteFileMask('c:\windows\syswow64\config\systemprofile\appdata\roaming\webisida', '*', true); DeleteFileMask('c:\windows\syswow64\config\systemprofile\appdata\roaming\webisida\gecko', '*', true); DeleteDirectory('c:\windows\inf\.netframework3.5sp1'); DeleteDirectory('c:\windows\inf\netlibrariestip'); DeleteDirectory('c:\windows\syswow64\config\systemprofile\appdata\roaming\webisida'); DeleteDirectory('c:\windows\syswow64\config\systemprofile\appdata\roaming\webisida\gecko'); RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'CTFMON.EXE'); RegKeyParamDel('HKEY_USERS', 'S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run', 'CTFMON.EXE'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
Вас взламывают, видимо, через RDP. Уберите права администратора у всех юзеров, у кого можно, при грамотной настройке прав всем они не нужны. Смените всем, у кого есть права входа по RDP, пароли, установите сложные. Учётке Администратор запретите удалённый доступ, для администрирования через терминал пользуйтесь другой, с нетипичным именем и сложным паролем. Есть, кстати, хорошее правило - сразу после установки серверной ОС переименовывать администратора по умолчанию.
Смените пароли на учётки с администраторскими правами и у пользователей, имеющих доступ по RDP, у кого админские права были не по делу - отобрать не обращая внимания на вопли. Для 99% программ проблемы с работой под пользователем без прав администратора решаются изменением прав безопасности на соответствующие папки и ветки реестра.
MS SQL сервер - также менять пароли, проверять, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.
Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.
WBR,
Vadim
Карантин загрузил, скрипт выполнил образ системы во вложении
Карантин зачем перепаковали, а не отправили, как есть?
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE delref %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\LSM.EXE delref %SystemRoot%\SYSWOW64\RDM.EXE delref %SystemRoot%\INF\AXPERFLIB\0010\0011\000E\0015\MMS.EXE delref %SystemRoot%\INF\AXPERFLIB\0010\0011\000A\0010\MMS.EXE delref %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\MMS.EXE delref %SystemRoot%\INF\.NETFRAMEWORK3.5SP1\0009\V1.1.4322\ASP.NETWEBADMINFILES\APP_LOCALRESOURCES\CTFMON.EXE delref %SystemRoot%\FONTS\.{2E095DD0-AF56-47E4-A099-EAC038DECC24}\JWS.VBS zoo %Sys32%\RDM.EXE addsgn BA6F9BB21CAD8C8A0AD4AEF9551A5ABCF1C2FDB688FA1F786D20FABC509E4085CBF0FC573E1D144C9BB8859F0B2789B2BA1DE86255DAF81DE49F7010C7066AFA 8 Trojan.BtcMine.1105 [DrWeb] 7 chklst delvir deltmp czoo
Перезагрузите сервер.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
WBR,
Vadim
Карантин перепаковал так как он не в архиве был, файл отправил сделанный с uVS, логи прикрепил
Проблема решена, как я понимаю?
WBR,
Vadim
Да вроде как больше этой гадости нет, спасибо огромное за помощь !!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\inf\.netframework3.5sp1\0009\v1.1.4322\ asp.netwebadminfiles\app_localresources\ctfmon.exe - not-a-virus:RiskTool.MSIL.Sidaweb.q ( BitDefender: Gen:Trojan.Heur.GO0brqDY6Iak )
- c:\windows\syswow64\config\systemprofile\appdata\r oaming\webisida\webisida.browser.exe - not-a-virus:RiskTool.MSIL.Sidaweb.q ( BitDefender: Gen:Variant.MSILPerseus.2843 )
Уважаемый(ая) Petrov1c, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
