safesurf.exe и surfguard.exe [not-a-virus:NetTool.Win32.Wasppace.l ]

[atataMen]

Добрый день.
Появились такие процессы.
Win server 2003 x64 sp2.
Помогите побороть.Вложение 495183Вложение 495184Вложение 495182

[Info_bot]

Уважаемый(ая) atataMen, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\intel\web\microsoft\surfguard.exe');
 TerminateProcessByName('c:\intel\web\microsoft\services.exe');
 TerminateProcessByName('c:\intel\web\microsoft\safesurf.exe');
 QuarantineFile('C:\RECYCLER\Windows\winlogon.exe','');
 QuarantineFile('c:\intel\web\microsoft\surfguard.exe','');
 QuarantineFile('c:\intel\web\microsoft\services.exe','');
 QuarantineFile('c:\intel\web\microsoft\safesurf.exe','');
 DeleteFile('c:\intel\web\microsoft\safesurf.exe','32');
 DeleteFile('c:\intel\web\microsoft\services.exe','32');
 DeleteFile('c:\intel\web\microsoft\surfguard.exe','32');
 DeleteFile('C:\Intel\Web\Microsoft\f\1\freebl3.dll','32');
 DeleteFile('C:\Intel\Web\Microsoft\f\1\gkmedias.dll','32');
 DeleteFile('C:\Intel\Web\Microsoft\f\1\mozalloc.dll','32');
 DeleteFile('C:\Intel\Web\Microsoft\f\1\mozglue.dll','32');
 DeleteFile('C:\Intel\Web\Microsoft\f\1\mozjs.dll','32');
 DeleteFile('C:\Intel\Web\Microsoft\f\1\nss3.dll','32');
 DeleteFile('C:\Intel\Web\Microsoft\f\1\nssckbi.dll','32');
 DeleteFile('C:\Intel\Web\Microsoft\f\1\nssdbm3.dll','32');
 DeleteFile('C:\Intel\Web\Microsoft\f\1\softokn3.dll','32');
 DeleteFile('C:\Intel\Web\Microsoft\f\1\xul.dll','32');
 DeleteFile('C:\Intel\Web\Microsoft\Geckofx-Core.dll','32');
 DeleteFile('C:\Intel\Web\Microsoft\Geckofx-Winforms.dll','32');
 DeleteFile('C:\RECYCLER\Windows\winlogon.exe','32');
 DeleteFileMask('C:\Intel','*',true);
 DeleteDirectory('C:\Intel');
ExecuteSysClean;
end.

Перезагрузите сервер вручную.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[atataMen]

карантин выслал, автозагрузка не влезает, весит 627 кб

[Vvvyg]

Удалите старые вложения, либо загрузите на rghost.ru и дайте ссылку в теме.

[atataMen]

теперь у терминальных пользователей ошибка при входе "windows не удалось выполнить ваш вход в систему"

- - - - -Добавлено - - - - -

Вложение 495199

[Vvvyg]

Старые вложения - имелись ввиду по предыдущим темам, не по этой. Теперь здесь не понять, с чего всё начиналось.

Скрипт никакие службы системные не трогал, что-то сами меняли в настройках, удаляли?

Ссылку на Universal Virus Sniffer я специально дал, чтобы Вы скачали актуальную версию. Образ сделан в старой бета-версии с ошибками, для дальнейших действий скачайте по моей ссылке.

Выполните скрипт в uVS:

Код:

;uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v383c
zoo %SystemRoot%\ADFS\CTFMON.EXE
delall %SystemRoot%\ADFS\CTFMON.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\DIСHECKER_1.8.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\DIСHECKER_1.8.EXE
zoo %SystemDrive%\INTEL\WEB\MICROSOFT\SERVICES.EXE
delall %SystemDrive%\INTEL\WEB\MICROSOFT\SERVICES.EXE
zoo %SystemDrive%\RECYCLER\WA.VBS
delall %SystemDrive%\RECYCLER\WA.VBS
zoo %SystemDrive%\RECYCLER\WASPPACER.EXE
delall %SystemDrive%\RECYCLER\WASPPACER.EXE
zoo %SystemDrive%\INTEL\WEB\MICROSOFT\SAFESURF.EXE
delall %SystemDrive%\INTEL\WEB\MICROSOFT\SAFESURF.EXE
zoo %SystemDrive%\INTEL\WEB\MICROSOFT\SURFGUARD.EXE
delall %SystemDrive%\INTEL\WEB\MICROSOFT\SURFGUARD.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\DONTGODEDIC.BAT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\DONTGODEDIC.BAT
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\TERM1\МОИ ДОКУМЕНТЫ\GN\GN_REF_CONTROL_2.EXE
dirzoo %Sys32%\RAS\WINLOGO
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\TERM1\МОИ ДОКУМЕНТЫ\LOIC.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\TERM1\МОИ ДОКУМЕНТЫ\LOIC.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\PROXYHUNTER31B1\PROXYHUNTER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG\PROXYHUNTER31B1\PROXYHUNTER.EXE
deldir %SystemDrive%\DOCUMENTS AND SETTINGS\СЕКРЕТАРЬ\APPLICATION DATA\MICROSOFT\WINDOWS\WINCONFIG
deldir %SystemDrive%\INTEL\WEB
zoo %SystemRoot%\ADFS\TASKMGR.EXE
delall %SystemRoot%\ADFS\TASKMGR.EXE
zoo %Sys32%\1031\TN.EXE
delall %Sys32%\1031\TN.EXE
zoo %Sys32%\1031\X.EXE
delall %Sys32%\1031\X.EXE
czoo
deltmp

и перезагрузите сервер.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте экспорт журнала событий "Безопасность", загрузите на rghost.ru и дайте ссылку в личном сообщении. Там же укажите внешний ip адрес шлюза, через который выходите в интернет, буду прооверять на вероятность взлома.

- - - - -Добавлено - - - - -

Меры против взлома надо принять как организационные, так и технические.

1. Сменить пароли на учётки с администраторскими правами, у кого они были не по делу - отобрать права администратора.

2. На средства удалённого доступа к серверу, если таковые установлены (Radmin и т. п.), также менять пароли, обновлять до последних версий эти программы.

2. MS SQL сервер - также менять пароли, проверять, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.

3. Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.

4. Включить в антивирусе противодействие потенциально нежелательным программам (ПНП/PUP). В корпоративной версии Касперского это точно должно быть.

5. Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.

Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[atataMen]

You may only post 5 messages every 1440 minutes..... печаль.

в общем в марте-мае 2013 вскрыли на дедик, адрес есть в инете, может поэтому досих пор перебирают.

[Vvvyg]

Меняйте ip, это лучший выход.
Перенесите, если есть возможность, сервисы, которые нужны для доступа извне, на нестандартные порты где-то за 40-50 тысяч. Например, по RDP пусть заходят снаружи на ip:56789 (к примеру). Это, если есть возможность на роутере сделать перенаправление портов.

Сделайте полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.

[atataMen]

http://rghost.ru/58075081

[Vvvyg]

Апач, надеюсь, ваш крутится на сервере? Или тоже подсажен?

И это C:\PROGRAM FILES (X86)\L'OREAL RUSSIA - ваше?

Выполните скрипт в uVS:

Код:

;uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v383c
delref %SystemDrive%\RECYCLER\WINDOWS\WINLOGON.EXE
delref %SystemDrive%\DOCUME~1\MNBESP~1\LOCALS~1\TEMP\UNKIS.VBS
delref %SystemRoot%\SYSWOW64\LSASS.EXE
deldir %Sys32%\RAS\WINLOGO
deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\TERM1\МОИ ДОКУМЕНТЫ\GN
delref %SystemDrive%\DOCUMENTS AND SETTINGS\СВЕТА\APPLICATION DATA\MAIL.RU\AGENT\MRA\DLL\NEWMRASEARCH.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\SPUTNIK\SPUTNIKHELPER.EXE

Перезагружать сервер не к спеху, можно, как нужда будет.

Ещё момент важный. Пользователи, работающие в терминальном режиме, не должны ни в коем случае:

иметь администраторских прав;
устанавливать какие-либо программы на сервере, даже в своём профиле;
выходить в интернет с сервера, пусть делают это со своих компьютеров.

Соответственно, на сервере не должно быть никаких браузеров кроме IE, icq, майлрушных агентов и т. п. Пользователей жёстко ограничить политиками.

[atataMen]

апач мой, лореаль тоже.
после uVS вечно терминальники слетают.
сейчас 2 тонких подключено, поэтому интернет пока используется (знаю что очень опасно, вдалбливаю руководству что необходимы отдельные компы)

[Vvvyg]

Тогда, как будет возможность перегрузить, скрипт выполните.
На момент повторного образа автозапуска левоты в процессах не было.

[atataMen]

автозапуск потом присылать ?

[Vvvyg]

Если будут опять левые процессы, или подозрения. Активного ничего не было уже.

[atataMen]

Вот по этому пути
C:\Documents and Settings\***\Local Settings\Application Data
у некоторых пользователей есть папка Waspace, с 2 файлами, их руками удалять ?

[Vvvyg]

Удалите, и новый полный образ автозапуска для контроля.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 27
• В ходе лечения обнаружены вредоносные программы:
  
  1. \wasppacer.exe._7610d64a21ef562b998f4298fd7219ef11 eafcdd - not-a-virus:NetTool.Win32.Wasppace.l ( DrWEB: Tool.Wasppacer.2 )