Удалить wasppacer.exe и safesurf.exe [not-a-virus:RemoteAdmin.Win32.ROM.at
]
Доброго времени! Предыстория, около 4-х месяцев назад на сервере win2003SP1 было обнаружено враждебную программу «накрутки» wasppacer.exe, тогда же от нее избавился в безопасном режиме + почистил реестр, некоторое время мониторил вроде все хорошо. Но на этой неделе обнаружил на диске С скрытую папку «SystemRecovery» которой раньше не было а в процессах опять wasppacer.exe из под Винды процесс прибить никак не удавалось тогда загрузился из флешки и начал проверять и обнаружил в папке «Temp» файл под названием 3576ЗPUHO.bat с хитрым содержимым:
@shift
taskkill /f /im sms.exe
taskkill /f /im crss.exe
taskkill /f /im wasppacer.exe
taskkill /f /im waagent.exe
taskkill /f /im wasub.exe
PING -n 1 -w 3000 127.0.0.1 > nul
RmDir /s /q C:\SystemRecovery\restore.tpl\Tmp
PING -n 1 -w 1000 127.0.0.1 > nul
start C:\SystemRecovery\Boot\Centrmgr\crss.exe
PING -n 1 -w 1000 127.0.0.1 > nul
Pause
Мною было сделано: в 3576ЗPUHO.bat удалены все строки и сохранен файл а папка C:\SystemRecovery переименована на C:\2SystemRecovery2 проверил систему cureit-ом и AVZ все чисто. Перезагрузил сервер в обычном режиме, вроде «wasppacer.exe» больше нигде не вижу, но появилось окошко с safesurf.exe процесс експлорером прибил процесс но поиском данного файла найти не удается. Пожалуйста помогите удалить все ето. Логи AVZ и hijackthis додаются
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) LoginzaID: 253917303, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
TerminateProcessByName('c:\program files\internet explorer\iexplore\plugins\lsass.exe');
SetServiceStart('frw', 4);
StopService('frw');
QuarantineFile('C:\WINDOWS\system32\romwln.dll','');
QuarantineFile('C:\SystemRecovery\Boot\Centrmgr\lsass.exe','');
QuarantineFile('c:\program files\internet explorer\iexplore\plugins\lsass.exe','');
DeleteFile('C:\Program Files\Internet Explorer\iexplore\plugins\lsass.exe','32');
DeleteFile('C:\SystemRecovery\Boot\Centrmgr\lsass.exe','32');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteService('sqlsrv');
DeleteService('frw');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
Компьютер перезагрузите вручную. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
Обнаруженные файлы: 19
C:\Program Files\Internet Explorer\iexplore\plugins\dcer\%drive_C%\WINDOW5\s ystem32\safesurf.exe (PUP.Optional.SafeGuard) -> Действие не было предпринято.
Огромное спасибо за помощь! Все сделано по вашей инструкции, второй день - полет нормальный. А по поводу :
Сообщение от mike 1
«Конечно будут проблемы, если иметь такой дырявый сервер. Обновляйте это безобразие.»
Не удается обновить систему SP2, в ходе установки обновления выдает ошибку errorsp2.JPG хз почему, может подскажите в связи с чем может возникать данное сообщение ато гугление пока результата не дает. Система унаследована от предыдущего админа и честно говоря уже б давно ее снес и переустановил вот только еще не до конца разобрался, что к чему здесь, ато понаставлено здесь куча сторонних сервисов таких как Apache и тд. и все задействовано.
Через центр обновления Windows обновления не получается установить?
Что через центр обновления, что через отдельно скачанный SP2 одно и тоже. Осталась только одна идея, вручную поставить все пакеты http://support.microsoft.com/kb/914962 по списку которые вошли в SP2
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: