Показано с 1 по 14 из 14.

Процессы Wasppacer, safesurf (заявка № 144550)

  1. #1
    Junior Member Репутация
    Регистрация
    19.01.2012
    Сообщений
    6
    Вес репутации
    45

    Процессы Wasppacer, safesurf

    Добрый день. Помогите, пожалуйста, избавиться от вредоносных процессов. Началось все несколько недель назад с появления процесса safesurf. Теперь проскакивает еще и wasppacer. Возможно в в процессе участвует xstarter который запускает все остальное. Антивирусные программы эти файлы вредоносными не считают.
    Файлы расположены в папке C:\wmpub\logs\wa. Папка уже около 700 мб.
    Как это все вычистить?
    Спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Discover, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    WBR,
    Vadim

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    19.01.2012
    Сообщений
    6
    Вес репутации
    45
    готово
    Вложения Вложения
    • Тип файла: zip Log.zip (798.1 Кб, 3 просмотров)

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Discover Посмотреть сообщение
    Антивирусные программы эти файлы вредоносными не считают.
    потому, что это не вирусы .

    пока

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
    • Прикрепите отчет к своему следующему сообщению.


    - - - Добавлено - - -

    + Выполните скрипт в uVS

    Код:
    ;uVS v3.81.1 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.2
    
    OFFSGNSAVE
    delall %SystemDrive%\WA\CSRSS.EXE
    zoo %SystemDrive%\INTEL\WEB\MICROSOFT\SAFESURF.EXE
    delall %SystemDrive%\INTEL\WEB\MICROSOFT\SAFESURF.EXE
    zoo %SystemDrive%\WMPUB\LOGS\WA\SMSS.EXE
    ; C:\WMPUB\LOGS\WA\SMSS.EXE
    bl 4C4EDE2CFD2001DF8FF0B93CE596D684 278675
    delall %SystemDrive%\WMPUB\LOGS\WA\SMSS.EXE
    ; C:\WMPUB\LOGS\WA\WASPPACER.EXE
    addsgn 925277EA0E6AC1CC0B744A4EA34F06193B8A8C4E1B4948FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 WaspAce Navigator
    
    zoo %SystemDrive%\WMPUB\LOGS\WA\WASPPACER.EXE
    bl D86B6DC185CCC47707B918A9F105D49E 821304
    ; zoo %SystemDrive%\WMPUB\LOGS\WA\WASPPACER.EXE
    zoo %SystemDrive%\INTEL\WEB\MICROSOFT\SURFGUARD.EXE
    delall %SystemDrive%\INTEL\WEB\MICROSOFT\SURFGUARD.EXE
    chklst
    delvir
    
    restart
    - Сделайте лог полного сканирования МВАМ.

  8. #6
    Junior Member Репутация
    Регистрация
    19.01.2012
    Сообщений
    6
    Вес репутации
    45
    Скрипт выполнил. После перезагрузки surfguard в процессах остался.
    Судя по информации из process explorer "C:\Intel\Web\Microsoft\safesurf.exe" запущен процессом C:\Intel\Web\Microsoft\xStarter\services.exe /startedbyscm:2020FC88-40E2E8D8-srvXStarter

    Отчеты прикрепил
    Вложения Вложения
    • Тип файла: zip Log_1.zip (2.2 Кб, 3 просмотров)

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true); 
     QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\System\svchost.exe','');
     DeleteFile('C:\Program Files\Common Files\Microsoft Shared\System\svchost.exe');
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');      
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


    Цитата Сообщение от Discover Посмотреть сообщение
    Судя по информации из process explorer "C:\Intel\Web\Microsoft\safesurf.exe" запущен процессом C:\Intel\Web\Microsoft\xStarter\services.exe /startedbyscm:2020FC88-40E2E8D8-srvXStarter
    значит запускается через эту программу http://www.xstarter.com/rus/index.html
    Если вы сами не ставили эту программу, то посмотрите, возможно будет файл
    Код:
    C:\Intel\Web\Microsoft\xStarter\unins000.exe
    или другой файл для деинсталяции этой программы, в списке установленных её похоже нет.

  10. #8
    Junior Member Репутация
    Регистрация
    19.01.2012
    Сообщений
    6
    Вес репутации
    45
    Добрый день. Скрипт выполнил, карантин загрузил
    Файл сохранён как 130909_071243_2013-09-06_522d74eb650da.zip
    Размер файла 438835
    MD5 dcec64e327a501041a120f8dec0138a2
    Файл закачан, спасибо!

    Файла деинсталляции xStarter не обнаружил, но получилось вручную удалить службу xStarter (Windows Tasks Sheduler). Пока подозрительные процессы не появляются.


    Странная ситуация с папками c:\intel\ и c:\wmpub\
    В проводнике их нет, но при выполнении команды DIR в командной строке их видно, и все содержимое тоже на месте.

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Включите просмотр скрытых файлов в проводнике и удалите папки c:\intel, c:\wmpub и c:\wa (если есть) со всем содержимым.
    Сделайте новый полный образ автозапуска uVS, зачистим хвосты.
    WBR,
    Vadim

  12. #10
    Junior Member Репутация
    Регистрация
    19.01.2012
    Сообщений
    6
    Вес репутации
    45
    Просмотр скрытых файлов в проводнике включен, все равно каталогов не видно.
    Удалить получилось только командами в cmd:
    takeown /r /f [папка]
    win: rd /s /q [папка]

    Образ автозапуска загрузил через карантин.
    Файл сохранён как 130909_115217_SERVER_2013-09-09_15-36-53_522db67110dec.zip
    Размер файла 768192
    MD5 a990281619532dfa34807c4a41ff7e40

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Сделайте новый полный образ автозапуска uVS, зачистим хвосты.
    И смените админские пароли, если ещё этого не сделали.
    WBR,
    Vadim

  14. #12
    Junior Member Репутация
    Регистрация
    19.01.2012
    Сообщений
    6
    Вес репутации
    45
    Пароли администраторов сменил сразу, но на сервере есть еще rdp пользователи, им всем тоже пароли нужно сменить?
    Еще была проблема с тем что сервер был открыт для rdp подключений снаружи, сейчас убрал его за аппаратный vpn.

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,461
    Вес репутации
    1058
    Ну, если снаружи теперь за VPN, это не так критично. Хотя, смену паролей всем пользователям принято делать регулярно, с интервалом в несколько месяцев максимум.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
    WBR,
    Vadim

  16. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Discover, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите избавится от safesurf
      От HJS в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 07.09.2011, 15:02
    2. Сообщение safesurf.exe – ошибка приложения
      От Дмитрий007 в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 08.02.2011, 16:36
    3. процессы safesurf и surfguard
      От remixex в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 09.10.2010, 13:53
    4. не удаляется касперским интернет секюрити SafeSurf (заявка №28325)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 11.09.2010, 00:00
    5. safesurf.exe & safeguard.exe
      От Lina_22 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 23.05.2010, 13:12

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01315 seconds with 18 queries