Процессы SecureSurf.Browser.Client и SecureSurf.Browser.Shell и несколько еще [not-a-virus:RiskTool.Win32.Agent.amrm, not-a-virus:UDS:RiskTool.Win32.= Agent.bcny]

**Ray Jonson** · 08.03.2021, 15:36

Здравствуйте!

Неделю назад заметил два посторонних процесса - SecureSurf.Browser.Client и SecureSurf.Browser.Shell на машине с Windows Server 2008. После убивания вручную появляются через несколько секунд снова.

Проверял систему KVRT и Dr.Web CureIt! - в общей сложности нашлось порядка 20 вирусов. После проверки процессы SecureSurf.Browser.Client и SecureSurf.Browser.Shell не появлялись около суток, а потом вновь.

Так же был замечен шифровальщик - но вовремя заметил, не много успел сделать. Остановил KVRT
Но сегодня опять появился SecureSurf.Browser.Client и SecureSurf.Browser.Shell опять прогнал и пропало - но на долго ли
Плюс установил ESET Smart (но он не видит вообще ничего)

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 08.03.2021, 15:37

Уважаемый(ая) Ray Jonson, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 09.03.2021, 14:16

Логи будут?

**Ray Jonson** · 10.03.2021, 09:53

Сообщение от Vvvyg

Логи будут?

Добрый день.
Приложил, вроде сюда же?

**Vvvyg** · 10.03.2021, 10:55

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 QuarantineFile('C:\Windows\Fonts\wss\wshost.exe', '');
 QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\launcher.exe', '');
 QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
 QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '');
 QuarantineFile('C:\Windows\Logs\logos.bat', '');
 QuarantineFile('wahiver.exe', '');
 DeleteFile('C:\Windows\Fonts\wss\wshost.exe', '');
 DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\launcher.exe', '');
 DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
 DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '64');
 DeleteFile('wahiver.exe', '64');
 DeleteService('werlsfks');
 DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
 DeleteDirectory('c:\windows\inf\netlibrariestip');
 DeleteSchedulerTask('Microsoft\Windows\Browser\MWR');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
end.

Перезагрузите сервер.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**Ray Jonson** · 10.03.2021, 13:07

Сообщение от Vvvyg

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 QuarantineFile('C:\Windows\Fonts\wss\wshost.exe', '');
 QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\launcher.exe', '');
 QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
 QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '');
 QuarantineFile('C:\Windows\Logs\logos.bat', '');
 QuarantineFile('wahiver.exe', '');
 DeleteFile('C:\Windows\Fonts\wss\wshost.exe', '');
 DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\launcher.exe', '');
 DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
 DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '64');
 DeleteFile('wahiver.exe', '64');
 DeleteService('werlsfks');
 DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
 DeleteDirectory('c:\windows\inf\netlibrariestip');
 DeleteSchedulerTask('Microsoft\Windows\Browser\MWR');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
end.

Перезагрузите сервер.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

Скрипт выполнил, карантин прикрепил
Сейчас сделаю образ автозапуска и его так же прикрепить сюда?
Спасибо большое!

**Vvvyg** · 10.03.2021, 13:41

Уведомление

Не цитируйте полностью, просто пишите в окне "Быстрый ответ".

Прикрепите образ, если не влезет - в облако и ссылку в тему.

**Ray Jonson** · 11.03.2021, 00:45

Сейчас опять все по новой пошло. Образ во вложении (так же поставил ipban и на дня вообще открытые порты закрою), только как теперь избавиться от того, что имею

**Vvvyg** · 11.03.2021, 08:46

Практически избавились уже, остатки зачистить и мусор осталось.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
deltmp
delref %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\LSM.EXE
del %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\µTORRENT.LNK
del %SystemDrive%\USERS\BUHGALTER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MYSTARTUP.LNK
delref %SystemDrive%\USERS\ADM3\APPDATA\LOCAL\TEMP\1\CHROME_BITS_1184_777219897\2018.8.8.0_WIN64_WIN_THIRD_PARTY_MODULE_LIST.CRX3
delref %SystemDrive%\PROGRAM FILES\NOVOSOFT\HANDY BACKUP FOR CLOUD 7\BACKUPSERVER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SECURITY CENTER\PLUGINS\KES4MOBILE\KLMOBILE2PLG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\ACCESSIBLEMARSHAL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\ACCESSIBLEHANDLER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
apply

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Ray Jonson** · 11.03.2021, 22:05

Добрый вечер, приложил все логи

**Vvvyg** · 11.03.2021, 22:29

Порядок.

Такой вариант ещё посмотрите.

**Ray Jonson** · 14.03.2021, 13:41

Добрый день, спасибо большое!
Сегодня прошло опять пару дней и он опять активизировался - КВРТ почистил
Может дождаться опять активность и все по новой проделать или как лучше быть?

- - - - -Добавлено - - - - -

Скриншоты прикладываю

**Vvvyg** · 14.03.2021, 14:37

Надо бороться не со следствием, а с причиной.
Анализируйте журналы - как может проникнуть на сервер нежелательное ПО - напрямую, через рабочие станции в локальной сети?
Поменяйте все пароли.
Система обновлена?

Процессы SecureSurf.Browser.Client и SecureSurf.Browser.Shell и несколько еще [not-a-virus:RiskTool.Win32.Agent.amrm, not-a-virus:UDS:RiskTool.Win32.= Agent.bcny] (заявка № 226512)

Опции темы