Webisida.Browser.exe, SecureSurf.Browser.Client.exe и Safesurf.exe на сервере терминалов
Операционная система: Windows Server 2003x32 Standart, является сервером терминалов и файлопомойкой. Заметил в диспетчере задач процессы Webisida.Brows, SecureSurf.Browser.Client.exe и Safesurf.exe по учётной записью SYSTEM. При завершении вручную через несколько десятков минут появляется снова. CureIT нашёл пару троянов, но ситуацию не исправил.
Прикрепляю файлы согласно правилам. (1 пункт пропускаю, так как ОС серверная).
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) LenIVEc, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('c:\documents and settings\user36\Избранное\Ссылки\temp\wahiver.exe');
QuarantineFile('c:\documents and settings\user36\Избранное\Ссылки\temp\wahiver.exe','');
TerminateProcessByName('c:\program files\google\system\webisida.browser.exe');
QuarantineFile('c:\program files\google\system\webisida.browser.exe','');
TerminateProcessByName('c:\intel\web\microsoft\safesurf.exe');
QuarantineFile('c:\intel\web\microsoft\safesurf.exe','');
TerminateProcessByName('c:\intel\web\microsoft\xstarter\services.exe');
QuarantineFile('c:\intel\web\microsoft\xstarter\services.exe','');
TerminateProcessByName('c:\intel\web\microsoft\services.exe');
QuarantineFile('c:\intel\web\microsoft\services.exe','');
DeleteFile('c:\intel\web\microsoft\services.exe','32');
DeleteFile('c:\intel\web\microsoft\xstarter\services.exe','32');
DeleteFile('c:\intel\web\microsoft\safesurf.exe','32');
DeleteFile('c:\program files\google\system\webisida.browser.exe','32');
DeleteFile('c:\documents and settings\user36\Избранное\Ссылки\temp\wahiver.exe','32');
DeleteFile('C:\Intel\Web\Microsoft\xStarter\ssleay32.dll','32');
DeleteFile('C:\Intel\Web\Microsoft\xStarter\LIBEAY32.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Перезагрузку компьютера выполните вручную.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантиннад первым сообщением в Вашей теме.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
P.S. за день того, как сделал скрипт на очистку и карантин, AVP эвристикой обнаружил и сам удалил "c:\documents and settings\user36\Избранное\Ссылки\temp\wahiver.exe" , потому его в карантине нет.
Trojan.Agent, HKU\S-1-5-21-2257162292-2920792344-747253129-1012\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows NT Logon, "C:\Documents and Settings\User6\WINDOWS\system\winlogon.exe", , [9657c66c513ade58ca1b3a2ab94afb05]
Trojan.Agent, C:\Documents and Settings\User6\WINDOWS\system\winlogon.exe, , [9657c66c513ade58ca1b3a2ab94afb05],
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Trojan.Agent, HKU\S-1-5-21-2257162292-2920792344-747253129-1012\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows NT Logon, "C:\Documents and Settings\User6\WINDOWS\system\winlogon.exe", , [9657c66c513ade58ca1b3a2ab94afb05]
Trojan.Agent, C:\Documents and Settings\User6\WINDOWS\system\winlogon.exe, , [9657c66c513ade58ca1b3a2ab94afb05],
удалил. А с оставшимися как быть? Это ложное срабатывание?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: