Показано с 1 по 16 из 16.

websidia.browser (заявка № 198210)

  1. #1
    Junior Member Репутация
    Регистрация
    20.01.2015
    Сообщений
    18
    Вес репутации
    11

    websidia.browser

    Добрый день!
    Похоже на мой удалённый сервер что-то пробралось, подобрав пароль, выражается это в наличии некоторых посторонних процессов:

    h_1457934322_6440279_2b0817b97f.png

    Заранее спасибо.
    Вложения Вложения
    Последний раз редактировалось lopatakal; 14.03.2016 в 10:37.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,460
    Вес репутации
    342
    Уважаемый(ая) lopatakal, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,586
    Вес репутации
    836
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('c:\program files\common files\microsoft shared\system\webisida.browser.exe');
     QuarantineFile('c:\program files\common files\microsoft shared\system\webisida.browser.exe','');
     DeleteFile('c:\program files\common files\microsoft shared\system\webisida.browser.exe','32');
     ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateTaskMashine" /F', 0, 15000, true);
    ExecuteSysClean;
    end.
    Перезагрузите сервер.

    Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    20.01.2015
    Сообщений
    18
    Вес репутации
    11
    Всё сделал, прикрепляю файлы.
    Вложения Вложения
    • Тип файла: 7z UVS.7z (430.5 Кб, 1 просмотров)
    • Тип файла: zip FRST.zip (10.0 Кб, 1 просмотров)

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,586
    Вес репутации
    836
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.87 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.3
    v385c
    OFFSGNSAVE
    ; C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\SETTINGS.EXE
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\SETTINGS.EXE
    addsgn 925277DA146AC1CC0B04504E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.MulDrop4.25 [DrWeb]
    
    ; C:\PROGRAMDATA\MICROSOFT\DRM\SMSS.EXE
    zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\SMSS.EXE
    addsgn 98F41F2AC82A4C9A45FCAEB1DB5C120525013B1E2709E0870CA62D37A45F4F1ADC021FC77E5516073B0989AF8C5649713BDB4B4E9F9AB0A77B7F2D3A87CC6273 8 Win32/ServiceEx.A [ESET-NOD32]
    
    ; C:\WINDOWS\SYSWOW64\SETH.EXE
    addsgn 9A24779A55024C720BD4C6A9A78812ED79AAFCF60A3E131085C3C5BCB883514C23B4DF947E55F5492B8084F7460649FA15DFE8725532F20C2D7707370446229B 8 TrojWare.Win32.CoinMiner.IEGT [Comodo]
    
    zoo %SystemRoot%\SYSWOW64\SETH.EXE
    ; C:\WINDOWS\SYSWOW64\MTMONITOR\TMMT.EXE
    addsgn 9AED570455824D720BD46D723A2C62AF4F3D8D53B64DA12CAE8ED17F79A8B561D1273D673793490FDFC307818E4AF22385DBC2BF45C6BF8511D9A7E6FE7A96A4 8 not-a-virus:Monitor.Win64 [Ikarus]
    
    zoo %SystemRoot%\SYSWOW64\MTMONITOR\TMMT.EXE
    ; C:\WINDOWS\SYSWOW64\MTMONITOR\TSYNCHOST.EXE
    addsgn A7679B235D6A4C7261D4C4B12DBDEB569D9257A28912C9F26E3CF67C05BE56667617A7A80E3114698A64FACA469D497A05C7E97DD037B02C2DD6E8539206A973 8 W32.HfsAdware.D93F [Bkav]
    
    zoo %SystemRoot%\SYSWOW64\MTMONITOR\TSYNCHOST.EXE
    ; C:\WINDOWS\SYSWOW64\MTMONITOR\TMMT64.EXE
    addsgn BA6F9BB2BD8154720B9C2D754C2124FBDA75303AC9A957FB69E38D37892964995917C3EE3F559D49A28566914716A1CB5FDFE83ADE1158FD3277A4ACFAC82C72 8 TMMT64
    
    zoo %SystemRoot%\SYSWOW64\MTMONITOR\TMMT64.EXE
    chklst
    delvir
    
    deldir %SystemRoot%\SYSWOW64\MTMONITOR
    regt 35
    czoo
    Перезагрузите сервер.

    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
    WBR,
    Vadim

  7. Это понравилось:


  8. #6
    Junior Member Репутация
    Регистрация
    20.01.2015
    Сообщений
    18
    Вес репутации
    11
    Случайно дважды скрипт выполнил, поэтому два архива (положив в один) с карантином прикрепил.
    Так же прикрепляю логи работы.
    Вложения Вложения

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,586
    Вес репутации
    836
    Сервер перезагрузили? Новый полный образ автозапуска uVS сделайте, если не влезет во вложения, загрузите на rghost.ru и дайте ссылку в теме.
    И карантин не надо было упаковывать дополнительно, как есть нужно было грузить...
    WBR,
    Vadim

  10. Это понравилось:


  11. #8
    Junior Member Репутация
    Регистрация
    20.01.2015
    Сообщений
    18
    Вес репутации
    11
    Да, перезагружали.
    Два архива не удалось прикрепить в форме отправки карантина, поэтому пришлось их сложить в ещё один.

    Вот образ автозапуска:
    http://rghost.ru/778cRj47P

  12. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,586
    Вес репутации
    836
    Ну, раз уж дважды выполнили скрипт, логично, что и карантин в двойном размере будет с тем же содержимым, ну, ладно уж...

    От активной заразы избавились.

    Выполните скрипт в UVS:
    Код:
    ;uVS v3.87 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.3
    v385c
    zoo C:\ProgramData\Microsoft\DRM\wa\services.exe
    delall C:\ProgramData\Microsoft\DRM\wa\services.exe
    adddir C:\ProgramData\Microsoft\DRM\wa
    adddir c:\program files\common files\microsoft shared\system
    czoo
    crimg
    Будет создан новый архив карантина ZOO_... - загрузите по ссылке "Прислать запрошенный карантин".
    Также будет создан новый полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку.
    WBR,
    Vadim

  13. Это понравилось:


  14. #10
    Junior Member Репутация
    Регистрация
    20.01.2015
    Сообщений
    18
    Вес репутации
    11

  15. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,586
    Вес репутации
    836
    Такой скрипт выполните:
    Код:
    ;uVS v3.87 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.3
    v385c
    zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\WA\UP.EXE
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\W7.BAT
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\WSS.BAT
    deldir %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\WA
    deldir %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM
    czoo
    Загрузите свежий карантин, и всё на этом.
    WBR,
    Vadim

  16. #12
    Junior Member Репутация
    Регистрация
    20.01.2015
    Сообщений
    18
    Вес репутации
    11
    Сделал.

    Спасибо большое.

  17. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,586
    Вес репутации
    836
    Имейте ввиду, что есть ещё раздел Аудит защищенности персонального компьютера, платный, правда.
    Пароли поменяли на сложные, надеюсь?

    Удалите папку C:\FRST со всем содержимым.

    Выполните рекомендации после лечения.
    WBR,
    Vadim

  18. #14
    Junior Member Репутация
    Регистрация
    20.01.2015
    Сообщений
    18
    Вес репутации
    11
    Конечно,п ароли теперь что-то вроде 79FvfpPfvsFcnh, хотя до этого тоже был довольно сложный.

  19. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,586
    Вес репутации
    836
    MS SQL Server наружу не смотрит? Через него часто ломают. Должен быть последний SP на него установлен, и пароли тоже нетривиальные быть.
    WBR,
    Vadim

  20. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 9
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) lopatakal, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 18
      Последнее сообщение: 25.02.2016, 21:20
    2. smart browser
      От rapierr в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 10.11.2015, 09:43
    3. Webisida.Browser.exe, SecureSurf.Browser.Client.exe
      От gazic1 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 16.04.2015, 01:44
    4. Internet Browser Security Test (Is your internet browser vulnerable?)
      От Ultima Weapon в разделе Offtopic
      Ответов: 13
      Последнее сообщение: 03.12.2007, 20:07
    5. Browser Sentinel
      От egik в разделе Антивирусы
      Ответов: 6
      Последнее сообщение: 15.11.2004, 20:17

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01289 seconds with 17 queries