Удалить wasppacer.exe и safesurf.exe [not-a-virus:RemoteAdmin.Win32.ROM.at ]

​Доброго времени! Предыстория, около 4-х месяцев назад на сервере win2003SP1 было обнаружено враждебную программу «накрутки» wasppacer.exe, тогда же от нее избавился в безопасном режиме + почистил реестр, некоторое время мониторил вроде все хорошо. Но на этой неделе обнаружил на диске С скрытую папку «SystemRecovery» которой раньше не было а в процессах опять wasppacer.exe из под Винды процесс прибить никак не удавалось тогда загрузился из флешки и начал проверять и обнаружил в папке «Temp» файл под названием 3576ЗPUHO.bat с хитрым содержимым:
@shift
taskkill /f /im sms.exe
taskkill /f /im crss.exe
taskkill /f /im wasppacer.exe
taskkill /f /im waagent.exe
taskkill /f /im wasub.exe
PING -n 1 -w 3000 127.0.0.1 > nul
RmDir /s /q C:\SystemRecovery\restore.tpl\Tmp
PING -n 1 -w 1000 127.0.0.1 > nul
start C:\SystemRecovery\Boot\Centrmgr\crss.exe
PING -n 1 -w 1000 127.0.0.1 > nul
Pause

Мною было сделано: в 3576ЗPUHO.bat удалены все строки и сохранен файл а папка C:\SystemRecovery переименована на C:\2SystemRecovery2 проверил систему cureit-ом и AVZ все чисто. Перезагрузил сервер в обычном режиме, вроде «wasppacer.exe» больше нигде не вижу, но появилось окошко с safesurf.exe процесс експлорером прибил процесс но поиском данного файла найти не удается. Пожалуйста помогите удалить все ето. Логи AVZ и hijackthis додаются

Уважаемый(ая) [B]LoginzaID: 253917303[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].

Здравствуйте!

[QUOTE]
Platform: Windows 2003 SP1 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830)
[/QUOTE]

Конечно будут проблемы, если иметь такой дырявый сервер. Обновляйте это безобразие.

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
TerminateProcessByName('c:\program files\internet explorer\iexplore\plugins\lsass.exe');
SetServiceStart('frw', 4);
StopService('frw');
QuarantineFile('C:\WINDOWS\system32\romwln.dll','');
QuarantineFile('C:\SystemRecovery\Boot\Centrmgr\lsass.exe','');
QuarantineFile('c:\program files\internet explorer\iexplore\plugins\lsass.exe','');
DeleteFile('C:\Program Files\Internet Explorer\iexplore\plugins\lsass.exe','32');
DeleteFile('C:\SystemRecovery\Boot\Centrmgr\lsass.exe','32');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteService('sqlsrv');
DeleteService('frw');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

[/CODE]

Компьютер перезагрузите вручную. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы


Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]

вот новые логи после выполнения скриптов

В MBAM удалите только это:

[QUOTE]Обнаруженные файлы: 19
C:\Program Files\Internet Explorer\iexplore\plugins\dcer\%drive_C%\WINDOW5\system32\safesurf.exe (PUP.Optional.SafeGuard) -> Действие не было предпринято.
[/QUOTE]

Огромное спасибо за помощь! Все сделано по вашей инструкции, второй день - полет нормальный. А по поводу :
[QUOTE=mike 1;1225203] «Конечно будут проблемы, если иметь такой дырявый сервер. Обновляйте это безобразие.»[/QUOTE]
Не удается обновить систему SP2, в ходе установки обновления выдает ошибку [ATTACH=CONFIG]533776[/ATTACH] хз почему, может подскажите в связи с чем может возникать данное сообщение ато гугление пока результата не дает. Система унаследована от предыдущего админа и честно говоря уже б давно ее снес и переустановил вот только еще не до конца разобрался, что к чему здесь, ато понаставлено здесь куча сторонних сервисов таких как Apache и тд. и все задействовано.

Через центр обновления Windows обновления не получается установить?

[QUOTE=mike 1;1227357]Через центр обновления Windows обновления не получается установить?[/QUOTE]

Что через центр обновления, что через отдельно скачанный SP2 одно и тоже. Осталась только одна идея, вручную поставить все пакеты [URL="http://support.microsoft.com/kb/914962"]http://support.microsoft.com/kb/914962[/URL] по списку которые вошли в SP2

Ставьте иначе могут залезть на сервер через дыры.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\romwln.dll - [B]not-a-virus:RemoteAdmin.Win32.ROM.at[/B][/LIST][/LIST]