Перейти к содержанию

Monero, Wasp, waspwing, securesurf.browser.client и прочая гадость


Рекомендуемые сообщения

Прошу помощи с борьбой завёлся майнер, запускается множество процессов Wasp, waspwing,  непонятный  процесс securesurf.browser.client.

Работа Касперский смол офис заблокирована.

SERVER1C_2018-02-16_11-02-30.7z

Ссылка на сообщение
Поделиться на другие сайты

@zevs2011, для начала лучше сделайте согласно правилам логи Автологером. Скачать, запустить и следовать инструкциям.

 

+ Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.

 

И в hosts как понимаю вы сами записи не добавляли?
 

ps. у вас там не только майнер.

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 
AVZ находится у вас в папке

h:\autologger-test\autologger\avz\
 
2) По логу uVS был виден инсталированный Spybot - Search & Destroy. Его уже удалили? Если нет, то удалите.
 
3)

 


в hosts как понимаю вы сами записи не добавляли?
не ответили.

и Hide Folders 2009 как понимаю сами тоже не ставили?

 

+

 

 


Скачайте AutorunsVTchecker, распакуйте и запустите.
сделали?
Ссылка на сообщение
Поделиться на другие сайты

Spybot удалил, hosts не добавлял, Hide Folders 2009 не устанавливал, AutorunsVTchecker запускал. 

Касперский и доктор веб каждый нашел по 10-ку зловредов и удалили. Повторные запуски ничего не обнаружили. В результате проведённых манипуляций появилась возможность восстановить KSO. И вот уже восстановленный KSO не может удалить какую то заразу. Первую рекомендацию сейчас не могу реализовать((( Перестал работать удалённый рабочий стол. Видимо сбились настройки. В настоящий момент не имею физического доступа к серверу. Восстановлю доступ продолжу.

Спасибо за помощь.

Ссылка на сообщение
Поделиться на другие сайты

Навсякий случай сделайте точку восстановления системы. Затем:

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

     

    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    dirzooex %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\WEBISIDA
    bl C11D65981DA1BF1A1704A8E7F455F3A8 710192
    zoo %SystemRoot%\FONTS\SVCHOST.EXE
    delall %SystemRoot%\FONTS\SVCHOST.EXE
    bl 8679B7B0A203510F221A3F9907EA8FC4 14848
    zoo %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\WEBISIDA\GECKO\SECURESURF.BROWSER.CLIENT.EXE
    delall %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\WEBISIDA\GECKO\SECURESURF.BROWSER.CLIENT.EXE
    deldir %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\WEBISIDA
    dirzooex %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL
    bl 98D04E772E3CF483857D2001548EC8C1 472
    zoo %SystemRoot%\FONTS\.{2E095DD0-AF56-47E4-A099-EAC038DECC24}\JWS.VBS
    delall %SystemRoot%\FONTS\.{2E095DD0-AF56-47E4-A099-EAC038DECC24}\JWS.VBS
    bl 56DCA59FDF4AB6663ABDB6064AFD2A8F 1213586
    zoo %SystemRoot%\FONTS\.{2E095DD0-AF56-47E4-A099-EAC038DECC24}\WSB.EXE
    delall %SystemRoot%\FONTS\.{2E095DD0-AF56-47E4-A099-EAC038DECC24}\WSB.EXE
    deldir %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL
    dirzooex %SystemRoot%\INF\AXPERFLIB\
    deldir %SystemRoot%\INF\AXPERFLIB\
    dirzoo %SystemRoot%\INF\NETLIBRARIESTIP\
    bl C4683CA32A735D6413ABC6E6405E3CD2 534528
    zoo %SystemRoot%\INF\.NETFRAMEWORK3.5SP1\0009\V1.1.4322\ASP.NETWEBADMINFILES\APP_LOCALRESOURCES\CTFMON.EXE
    delall %SystemRoot%\INF\.NETFRAMEWORK3.5SP1\0009\V1.1.4322\ASP.NETWEBADMINFILES\APP_LOCALRESOURCES\CTFMON.EXE
    delref COINTMINER@GMAIL.COM
    bl 5BBEA6BF90D12060D4439EF9820A226F 262656
    zoo %SystemRoot%\FONTS\TASKHOTS.EXE
    delall %SystemRoot%\FONTS\TASKHOTS.EXE
    deldir %SystemRoot%\INF\NETLIBRARIESTIP\
    regt 35
    bl 2188ADC70BB2AF8EDA4877790616322E 695296
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\SPOOLSV.EXE
    delall %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\SPOOLSV.EXE
    bl 486A44B5C9B10D0CBB9EF2C1744AA300 525824
    zoo %SystemDrive%\PROGRAM FILES (X86)\MSBUILD\MICROSOFT\WINDOWS WORKFLOW FOUNDATION\V2.5\SAFESURF.EXE
    delall %SystemDrive%\PROGRAM FILES (X86)\MSBUILD\MICROSOFT\WINDOWS WORKFLOW FOUNDATION\V2.5\SAFESURF.EXE
    bl AA1A1D4DD24F2D161BCBD39B7684DB29 208384
    zoo %SystemDrive%\PROGRAM FILES (X86)\MSBUILD\MICROSOFT\WINDOWS WORKFLOW FOUNDATION\V2.5\SERVICES.EXE
    delall %SystemDrive%\PROGRAM FILES (X86)\MSBUILD\MICROSOFT\WINDOWS WORKFLOW FOUNDATION\V2.5\SERVICES.EXE
    zoo %SystemRoot%\INF\AXPERFLIB\0010\0011\000A\0010\VMMS.EXE
    bl D1170274B007CD5E0A732DED6C8EED25 685568
    addsgn 1ADE289A5583C58CF42B254E3143FE54A6EF00F6DA7142680018B0BB631698D62317C301BDAE993B5E0DF763C3E03D94F692E4F910D23A3CAEB7A0AC0602A6A1 8 Trojan.Win32.Starter.anmj [Kaspersky] 7
    
    zoo %SystemDrive%\PROGRAM FILES (X86)\MSBUILD\MICROSOFT\WINDOWS WORKFLOW FOUNDATION\V2.5\SURFGUARD.EXE
    bl B965BB6F3D05D91561B5A4A258C211DC 30720
    addsgn 0DC977BA156A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA79DFEB7255DA802C2DF7AA2FC7065273 63 Adware.SafeSurf 7
    
    chklst
    delvir
    
    ;---------command-block---------
    delref %SystemRoot%\SYSWOW64\RDM.EXE
    zoo %SystemRoot%\FONTS\\TASKHOTS.EXE
    delall %SystemRoot%\FONTS\\TASKHOTS.EXE
    bl 9B8D1BC2A1D2F45EE200A48E60B71AA2 463
    zoo %SystemRoot%\FONTS\.{2E095DD0-AF56-47E4-A097-EAC038DECC24}\MGG.VBS
    delall %SystemRoot%\FONTS\.{2E095DD0-AF56-47E4-A097-EAC038DECC24}\MGG.VBS
    bl E8F4F66FB1DEBDE1602719438E58F971 73216
    zoo %Sys32%\RDM.EXE
    delall %Sys32%\RDM.EXE
    apply
    deltmp
    czoo
    restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO

    с паролем virus.
  • Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
сделайте свежий образ uVS. Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

@zevs2011, письмо дошло, но никакого вложения там нет. Так что отправьте его ещё раз. Ответа оттуда не будет. И от вас ещё ждём.

 

 


сделайте свежий образ uVS.
Ссылка на сообщение
Поделиться на другие сайты

 

 


regist, не проходит у меня письмо на тот адрес This message was blocked because its content presents a potential
закачайте архив на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile)  ссылку на скачивание пришлите мне в ЛС.

 

+

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    ;---------command-block---------
    delref %SystemDrive%\PROGRAM FILES (X86)\Y007.RU\1\TAXDOCPRT.DLL
    delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    bl F8EA515E991684B84C4D4D4020823AFA 1171456
    zoo %SystemRoot%\ADFS\CTFMON.EXE
    delall %SystemRoot%\ADFS\CTFMON.EXE
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref %Sys32%\DRIVERS\FSPFLTD.SYS
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


 

 

+ что с проблемой?

Ссылка на сообщение
Поделиться на другие сайты

@regist, Спасибо!!! Сейчас относительно тихо. Скрипт почистил то, что видел касперский, но не мог удалить. Вчера касперский обнаружил и удалил ехе-шник Monero. На понедельник готовлю пыточную. Ноги растут из папки помещённой на рабочий стол. Надо узнать кто притащил. Второй скрипт выполнил ссылку на этот "зоопарк" направлю.

Ссылка на сообщение
Поделиться на другие сайты

Для надёжности давайте ещё одной утилитой проверим, не осталось ли чего.

 

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От fzprog
      Добрый вечер. При работе с сервером наблюдалось сильное замедление работоспособности. В Диспетчере задач обнаружил подозрительные процессы Wasp.exe Waspwing.exe Wahiver.exe которые нагружают ЦП. При лечении с помощью KVRT от проблемы избавиться не удалось. 
      CollectionLog-2020.07.13-19.04.zip
×
×
  • Создать...