• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

В работе Удаление вируса Webisida.Browser.exe

rav__90

Новый пользователь
Сообщения
10
Реакции
0
Баллы
1
Доброго времени суток. Обнаружил у себя на сервере Windows Server 2012 следующие активные процессы типа Webisida.Browser.exe securesurf.browser.client.exe, и другую странную активность exe файлов с названиями замаскированными под системные. Все эти процессы находятся в папке C:\ProgramData\web. Так же нашел процесс странного происхождения Nzamo.exe, использующий очень много ОЗУ и запускающийся из папки C:\ProgramData\Microsoft\DRM. Папки были созданы сегодня ночью.Доступ к перечисленным папкам есть, но удалить я их не могу, система выдает, что недостаточно прав, хотя работаю под админом. Был установлен ESET File Securyti, но сейчас я не могу его запустить, система так же не дает доступ к папке с антивирусом. Очень прошу помочь с решением данной проблемы.
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,771
Реакции
1,925
Баллы
563
Здравствуйте!

Логи сделаны в терминальной сессии, сделайте их из консоли, т.е. непосредственно на самом компьютере.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,771
Реакции
1,925
Баллы
563
Пролечите систему с помощью KVRT. После этого соберите и прикрепите свежий CollectionLog.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,771
Реакции
1,925
Баллы
563
зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows), упакуйте папку Reports в архив и прикрепите к теме
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\fonts\web\winlogon.exe', '');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '');
 QuarantineFileF('c:\windows\inf\netlibrariestip', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Windows\fonts\web\winlogon.exe', '');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '64');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '64');
 DeleteService('spoolsrvrs');
 DeleteService('werlsfks');
 DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
 DeleteDirectory('c:\windows\inf\netlibrariestip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 
Сверху Снизу