помогите удалить вирус webisida.broser.exe и Secure.Surf.Browser

[sinhro1202]

Добрый день!

Пож-та, помогите избавиться от этой дряни.

собрал данные согласно инструкции

[Info_bot]

Уважаемый(ая) sinhro1202, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\windows\fonts\s\svchost.exe');
 TerminateProcessByName('c:\windows\fonts\s\www\gecko\plugin-container.exe');
 TerminateProcessByName('c:\windows\fonts\s\www\gecko\securesurf.browser.client.exe');
 TerminateProcessByName('c:\windows\fonts\s\www\webisida.browser.exe');
 StopService('Windows Terminal Service Control (managed by AlwaysUpService)');
 QuarantineFile('C:\Windows\Fonts\reg.exe', '');
 QuarantineFile('C:\Windows\Fonts\s\AlwaysUpServiceAssistant.dll', '');
 QuarantineFile('c:\windows\fonts\s\svchost.exe', '');
 QuarantineFile('c:\windows\fonts\s\www\gecko\plugin-container.exe', '');
 QuarantineFile('c:\windows\fonts\s\www\gecko\securesurf.browser.client.exe', '');
 QuarantineFile('C:\windows\fonts\s\www\gecko\SecureSurf.dll', '');
 QuarantineFile('c:\windows\fonts\s\www\webisida.browser.exe', '');
 QuarantineFile('C:\Windows\Fonts\se.exe', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 DeleteFile('C:\Windows\Fonts\reg.exe', '');
 DeleteFile('C:\Windows\Fonts\s\AlwaysUpServiceAssistant.dll', '');
 DeleteFile('c:\windows\fonts\s\svchost.exe', '');
 DeleteFile('C:\windows\fonts\s\www\gecko\browser\plugins\NPSWF32_32_0_0_142.dll', '');
 DeleteFile('C:\windows\fonts\s\www\gecko\Capinet.dll', '');
 DeleteFile('C:\windows\fonts\s\www\gecko\freebl3.dll', '');
 DeleteFile('C:\windows\fonts\s\www\gecko\lgpllibs.dll', '');
 DeleteFile('C:\windows\fonts\s\www\gecko\libEGL.dll', '');
 DeleteFile('C:\windows\fonts\s\www\gecko\libGLESv2.dll', '');
 DeleteFile('C:\windows\fonts\s\www\gecko\MemIPC.dll', '');
 DeleteFile('C:\windows\fonts\s\www\gecko\mozavcodec.dll', '');
 DeleteFile('C:\windows\fonts\s\www\gecko\mozavutil.dll', '');
 DeleteFile('C:\windows\fonts\s\www\gecko\mozglue.dll', '');
 DeleteFile('C:\windows\fonts\s\www\gecko\nss3.dll', '');
 DeleteFile('C:\windows\fonts\s\www\gecko\nssckbi.dll', '');
 DeleteFile('C:\windows\fonts\s\www\gecko\nssdbm3.dll', '');
 DeleteFile('c:\windows\fonts\s\www\gecko\plugin-container.exe', '');
 DeleteFile('c:\windows\fonts\s\www\gecko\securesurf.browser.client.exe', '');
 DeleteFile('C:\windows\fonts\s\www\gecko\SecureSurf.dll', '');
 DeleteFile('C:\windows\fonts\s\www\gecko\softokn3.dll', '');
 DeleteFile('C:\windows\fonts\s\www\gecko\xul.dll', '');
 DeleteFile('C:\windows\fonts\s\www\gecko\XulFx.dll', '');
 DeleteFile('C:\windows\fonts\s\www\gecko\XulFx.Windows.Forms.dll', '');
 DeleteFile('c:\windows\fonts\s\www\webisida.browser.exe', '');
 DeleteFile('C:\Windows\Fonts\se.exe', '');
 DeleteFile('C:\Windows\svchost.exe', '');
 DeleteService('Windows Terminal Service Control (managed by AlwaysUpService)');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
end.

Перезагрузите сервер.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[sinhro1202]

Вадим, все собрал как просили и выложил.

[Vvvyg]

Порядок. Как заполучили эту дрянь идеи есть?

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

[sinhro1202]

Как он пробрался не знаю, пользователь пожаловался, что войти не может по rdp на сервер. Вирус нагружал процессор на 100%.
Возможно через уязвимость windows залили.
Я когда первоначально шарил по его процессам, обнаружил директорию с readme файлом в котором описывались параметры запуска скрипта и пожелание удачного брутфорса. Я болван удалил эту директорию, а нужно было оставить...

[Vvvyg]

О, там даже патч MS17-010 от 2017 года, закрывающий опаснейшую уязвимость, которую используют многие майнеры и шифровальщики не установлен...
А есть ещё уязвимость в службе терминалов, с помощью которой активно взламывают компьютеры под Windows.
Обновляйтесь по ссылкам из avz_log.txt и статьи, а лучше - по полной программе в автоматическом режиме.

[sinhro1202]

Понял, спасибо за помощь!

[CyberHelper]

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

• =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
• =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 9
• =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
  =E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
  =E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB