Опять они! surfguard.exe, safesurf.exe!

**andy60rus** · 08.10.2013, 14:04

Опять история повторяться жжерается трафик! Смотрю процессы, а там нати они: surfguard.exe, safesurf.exe! Прошу помощи. Я так и не понимаю как они залезают ко мне на сервер....

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 08.10.2013, 14:05

Уважаемый(ая) andy60rus, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 08.10.2013, 15:31

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
 TerminateProcessByName('C:\Intel\Web\Microsoft\xStarter\services.exe');
 TerminateProcessByName('c:\intel\web\microsoft\surfguard.exe');
 TerminateProcessByName('c:\intel\web\microsoft\safesurf.exe');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\control_panel.exe','');
 QuarantineFile('c:\intel\web\microsoft\surfguard.exe','');
 QuarantineFile('c:\intel\web\microsoft\safesurf.exe','');
 DeleteFile('c:\intel\web\microsoft\safesurf.exe','32');
 DeleteFile('c:\intel\web\microsoft\surfguard.exe','32');
 DeleteFile('C:\Intel\Web\Microsoft\xStarter\services.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Update');
 DeleteFileMask('C:\INTEL','*',true);
 DeleteDirectory('C:\INTEL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.

Перегрузите сервер вручную, сделайте логи RSIT, MiniToolBox и полный образ автозапуска uVS.

**andy60rus** · 09.10.2013, 07:30

Готово!

**Vvvyg** · 09.10.2013, 08:38

Забыл вчера:
выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

**regist** · 09.10.2013, 09:14

Если после выполнения этого второго скрипта архив с карантином будет пустой, то

Пришлите в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

**andy60rus** · 09.10.2013, 09:30

Загрузил! Он пуст.

**regist** · 09.10.2013, 10:06

...

Сообщение от regist

Если после выполнения этого второго скрипта архив с карантином будет пустой, то

Пришлите в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

**andy60rus** · 09.10.2013, 10:18

так в avz тоже пусто!

**Vvvyg** · 09.10.2013, 10:42

Сообщение от andy60rus

Я так и не понимаю как они залезают ко мне на сервер....

А что тут удивительного, с прошлого взлома ничегошеньки не изменилось...

Сервер так и торчит в интернет голой ж..., порты не закрыты, уязвимости не устранены.

Из того, что определилось удалённо древней демо-версией XSpider:

Серьезная уязвимость
Удаленное выполнение команд (ms03-039)

Возможно получение удаленной командной строки с правами системы из-за переполнения буфера в DCOM RPC сервиса.
Решение:

Установите обновление:
http://www.microsoft.com/technet/sec.../MS04-012.mspx

Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt, прикрепите его к своему следующему сообщению.

**andy60rus** · 09.10.2013, 11:41

"Сервер так и торчит в интернет голой ж..., порты не закрыты, уязвимости не устранены."
Хорошо, как тогда эту ж... закрыть вместе с портами?!
Установите обновление:
http://www.microsoft.com/technet/sec.../MS04-012.mspx - пишет что более новая установлена уже.

**Vvvyg** · 09.10.2013, 13:03

Ну, сканер старый, ошибся, видимо. Но портов открыто множество.
Настраивайте файрволл, оптимально было бы установить аппаратный роутер - на трафике сэкономили бы уже давно.
Как, что настраивать - я частично упоминал в предыдущей теме, читайте книжки, самообразовывайтесь, вы ж сисадмин.

Скрипт уязвимости какие-то нашёл?

Папка C:\Intel существует?

**andy60rus** · 09.10.2013, 13:20

Уязвимостей нет! C:\Intel папки нет!

**Vvvyg** · 09.10.2013, 14:29

Настройки брандмауэра для сетевого соединения "Internet" какие? Можно со скриншотом.

Опять они! surfguard.exe, safesurf.exe! (заявка № 147041)

Опции темы

Опять они! surfguard.exe, safesurf.exe!

Похожие темы

Удалить процессы surfguard.exe и safesurf.exe

Процессы Wasppacer, safesurf

surfguard.exe (заявка №32018)

процессы safesurf и surfguard

safesurf.exe & safeguard.exe

Метки для этой темы

Ваши права в разделе