• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Удаление вируса Webisida.Browser.exe

Статус
В этой теме нельзя размещать новые ответы.

rav__90

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
Доброго времени суток. Обнаружил у себя на сервере Windows Server 2012 следующие активные процессы типа Webisida.Browser.exe securesurf.browser.client.exe, и другую странную активность exe файлов с названиями замаскированными под системные. Все эти процессы находятся в папке C:\ProgramData\web. Так же нашел процесс странного происхождения Nzamo.exe, использующий очень много ОЗУ и запускающийся из папки C:\ProgramData\Microsoft\DRM. Папки были созданы сегодня ночью.Доступ к перечисленным папкам есть, но удалить я их не могу, система выдает, что недостаточно прав, хотя работаю под админом. Был установлен ESET File Securyti, но сейчас я не могу его запустить, система так же не дает доступ к папке с антивирусом. Очень прошу помочь с решением данной проблемы.
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,816
Реакции
1,952
Баллы
643
Здравствуйте!

Логи сделаны в терминальной сессии, сделайте их из консоли, т.е. непосредственно на самом компьютере.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,816
Реакции
1,952
Баллы
643
Пролечите систему с помощью KVRT. После этого соберите и прикрепите свежий CollectionLog.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,816
Реакции
1,952
Баллы
643
зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows), упакуйте папку Reports в архив и прикрепите к теме
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\fonts\web\winlogon.exe', '');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '');
 QuarantineFileF('c:\windows\inf\netlibrariestip', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Windows\fonts\web\winlogon.exe', '');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '64');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '64');
 DeleteService('spoolsrvrs');
 DeleteService('werlsfks');
 DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
 DeleteDirectory('c:\windows\inf\netlibrariestip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.
Компьютер перезагрузите вручную.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 
Последнее редактирование:
  • Like
Реакции: akok

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,816
Реакции
1,952
Баллы
643
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,816
Реакции
1,952
Баллы
643
Тема открыта по просьбе ТС.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,816
Реакции
1,952
Баллы
643
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,816
Реакции
1,952
Баллы
643
Все ли администраторы ваши?
Администратор (S-1-5-21-1059769853-3356805956-1698328376-500 - Administrator - Enabled)
programmist (S-1-5-21-2799904735-574015448-2393237492-1151 - Administrator - Enabled) => C:\Users\programmist
sql_runner (S-1-5-21-2799904735-574015448-2393237492-1156 - Administrator - Enabled) => C:\Users\sql_runner
lemma (S-1-5-21-2799904735-574015448-2393237492-1113 - Administrator - Enabled) => C:\Users\lemma
isol (S-1-5-21-2799904735-574015448-2393237492-1261 - Administrator - Enabled) => C:\Users\isol
Чужих отключите или удалите.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    IFEO\sethc.exe: [Debugger] seth.exe
    Task: {ACA69260-5FE7-4EFD-BDCE-5CAB4E093CD5} - \Microsoft\Windows\EntityFramework\NetLibrary -> No File <==== ATTENTION
    S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
    S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
    C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe
    C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
5,816
Реакции
1,952
Баллы
643
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу