-
Junior Member
- Вес репутации
- 39
процесс wasppacer, как избавиться?
Месяца 2 назад была проблема на сервере , у пользователей запускался процесс wasppacer. Запустила проверку DrWeb CureIT, всё прекратилось. Два дня назад снова появился этот же процесс, вновь проверила DrWeb CureIT,почистила, но процесс проскакивает периодически. Сделала всё по инструкции, запустила утилиты AVZ и HiJackThis. Но у меня получилось всего 2 файла
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Эльвира181278, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ:
Код:
begin
TerminateProcessByName('c:\$recycle.bin\wasppacer.exe');
TerminateProcessByName('c:\$recycle.bin\csrss.exe');
TerminateProcessByName('c:\$recycle.bin\waagent.exe');
QuarantineFile('C:\$Recycle.Bin\csrss.exe','');
QuarantineFile('C:\$Recycle.Bin\libcef.dll','');
QuarantineFile('C:\$Recycle.Bin\ffmpegsumo.dll','');
QuarantineFile('c:\$recycle.bin\waagent.exe','');
DeleteFile('c:\$recycle.bin\waagent.exe','32');
DeleteFile('C:\$Recycle.Bin\ffmpegsumo.dll','32');
DeleteFile('C:\$Recycle.Bin\libcef.dll','32');
DeleteFile('C:\$Recycle.Bin\csrss.exe','32');
ExecuteSysClean;
DeleteFileMask('C:\$Recycle.Bin','*',true);
end.
Перезагрузите сервер вручную.
Сделайте лог версией AVZ 4.43, ссылка в правилах та же, не забудьте обновить базы.
-
-
Junior Member
- Вес репутации
- 39
скрипт выполнила
скрипт выполнила, перезагрузила, лог-файл прикрепила
-
На данный момент избавились.
Wasppacer устанавливают обычно удалённо, взломав сервер, либо кто-то умный с админскими правами внутри сети очень хочет заработать. Поэтому меры надо принять как организационные, так и технические.
1. Сменить пароли на учётки с администраторскими правами, у кого они были не по делу - отобрать права администратора.
2. На средства удалённого доступа к серверу, если таковые установлены (Radmin и т. п.), также менять пароли, обновлять до последних версий эти программы.
2. MS SQL сервер - также менять пароли, проверять, последний ли сервис-пак установлен. Взлом через дыры SQL-сервера - классика жанра.
3. Проверить разрешающие правила системного бранмауэра или другого файрвола (если установлен), доступ извне ограничить только теми ip-адресами, или хотя бы подсетями, и теми портами, для которых это необходимо удалённым клиентам и для удалённого управления. Аналогичные действия - если доступ контролируется аппаратным роутером/файрволом.
4. Включить в антивирусе противодействие потенциально нежелательным программам (ПНП/PUP). В корпоративной версии Касперского это точно должно быть.
5. Установить все обновления безопасности на систему. Самый минимум - то что найдёт такой скрипт.
Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Перед его выполнением установите Internet Explorer 8 - даже если им не пользуетесь, это критически важный для безопасности компонент Windows.
- - - Добавлено - - -
Забыл момент. Если сохранилась папка, где изначально был AVZ 4.41 и папка Quarantine присутствует и не пуста -выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
-
-
Junior Member
- Вес репутации
- 39
Спасибо огромное!
Процесс wasppacer пока больше не запускается ни у кого, только вот в реестре остались следы, почистила, после перзагрузки сервера ещё раз проверю. Спасибо ))