Добрый день!
Пож-та, помогите избавиться от этой дряни.
собрал данные согласно инструкции
Добрый день!
Пож-та, помогите избавиться от этой дряни.
собрал данные согласно инструкции
Уважаемый(ая) sinhro1202, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ:Перезагрузите сервер.Код:begin TerminateProcessByName('c:\windows\fonts\s\svchost.exe'); TerminateProcessByName('c:\windows\fonts\s\www\gecko\plugin-container.exe'); TerminateProcessByName('c:\windows\fonts\s\www\gecko\securesurf.browser.client.exe'); TerminateProcessByName('c:\windows\fonts\s\www\webisida.browser.exe'); StopService('Windows Terminal Service Control (managed by AlwaysUpService)'); QuarantineFile('C:\Windows\Fonts\reg.exe', ''); QuarantineFile('C:\Windows\Fonts\s\AlwaysUpServiceAssistant.dll', ''); QuarantineFile('c:\windows\fonts\s\svchost.exe', ''); QuarantineFile('c:\windows\fonts\s\www\gecko\plugin-container.exe', ''); QuarantineFile('c:\windows\fonts\s\www\gecko\securesurf.browser.client.exe', ''); QuarantineFile('C:\windows\fonts\s\www\gecko\SecureSurf.dll', ''); QuarantineFile('c:\windows\fonts\s\www\webisida.browser.exe', ''); QuarantineFile('C:\Windows\Fonts\se.exe', ''); QuarantineFile('C:\Windows\svchost.exe', ''); DeleteFile('C:\Windows\Fonts\reg.exe', ''); DeleteFile('C:\Windows\Fonts\s\AlwaysUpServiceAssistant.dll', ''); DeleteFile('c:\windows\fonts\s\svchost.exe', ''); DeleteFile('C:\windows\fonts\s\www\gecko\browser\plugins\NPSWF32_32_0_0_142.dll', ''); DeleteFile('C:\windows\fonts\s\www\gecko\Capinet.dll', ''); DeleteFile('C:\windows\fonts\s\www\gecko\freebl3.dll', ''); DeleteFile('C:\windows\fonts\s\www\gecko\lgpllibs.dll', ''); DeleteFile('C:\windows\fonts\s\www\gecko\libEGL.dll', ''); DeleteFile('C:\windows\fonts\s\www\gecko\libGLESv2.dll', ''); DeleteFile('C:\windows\fonts\s\www\gecko\MemIPC.dll', ''); DeleteFile('C:\windows\fonts\s\www\gecko\mozavcodec.dll', ''); DeleteFile('C:\windows\fonts\s\www\gecko\mozavutil.dll', ''); DeleteFile('C:\windows\fonts\s\www\gecko\mozglue.dll', ''); DeleteFile('C:\windows\fonts\s\www\gecko\nss3.dll', ''); DeleteFile('C:\windows\fonts\s\www\gecko\nssckbi.dll', ''); DeleteFile('C:\windows\fonts\s\www\gecko\nssdbm3.dll', ''); DeleteFile('c:\windows\fonts\s\www\gecko\plugin-container.exe', ''); DeleteFile('c:\windows\fonts\s\www\gecko\securesurf.browser.client.exe', ''); DeleteFile('C:\windows\fonts\s\www\gecko\SecureSurf.dll', ''); DeleteFile('C:\windows\fonts\s\www\gecko\softokn3.dll', ''); DeleteFile('C:\windows\fonts\s\www\gecko\xul.dll', ''); DeleteFile('C:\windows\fonts\s\www\gecko\XulFx.dll', ''); DeleteFile('C:\windows\fonts\s\www\gecko\XulFx.Windows.Forms.dll', ''); DeleteFile('c:\windows\fonts\s\www\webisida.browser.exe', ''); DeleteFile('C:\Windows\Fonts\se.exe', ''); DeleteFile('C:\Windows\svchost.exe', ''); DeleteService('Windows Terminal Service Control (managed by AlwaysUpService)'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
WBR,
Vadim
Вадим, все собрал как просили и выложил.
Порядок. Как заполучили эту дрянь идеи есть?
Выполните скрипт в AVZ при наличии доступа в интернет:После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
WBR,
Vadim
Как он пробрался не знаю, пользователь пожаловался, что войти не может по rdp на сервер. Вирус нагружал процессор на 100%.
Возможно через уязвимость windows залили.
Я когда первоначально шарил по его процессам, обнаружил директорию с readme файлом в котором описывались параметры запуска скрипта и пожелание удачного брутфорса. Я болван удалил эту директорию, а нужно было оставить...
О, там даже патч MS17-010 от 2017 года, закрывающий опаснейшую уязвимость, которую используют многие майнеры и шифровальщики не установлен...
А есть ещё уязвимость в службе терминалов, с помощью которой активно взламывают компьютеры под Windows.
Обновляйтесь по ссылкам из avz_log.txt и статьи, а лучше - по полной программе в автоматическом режиме.
WBR,
Vadim
Понял, спасибо за помощь!
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 9
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB
Уважаемый(ая) sinhro1202, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.