Удаление Wasppacer.exe

[groN]

Доброго времени суток!
Столкнулся с заразой в шапке в марте этого года, но тогда удалось успешно выкурить засранца путем удаления файлов. Недавно проявился снова: кроме чудовищной нагрузке на сеть теперь еще и при перезагрузке "теряются" права администраторов сервера, а сами перезагрузка/выключение длятся около 10 минут. Сами файлы, в т.ч. MPK.exe, удалены, следы зачищены, но подозрительная активность продолжается.
Прошу помочь в лечении этой заразы.

[Info_bot]

Уважаемый(ая) groN, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('driverssart');
 DeleteService('simplexpol');
 DeleteService('stiinstall');
 DeleteService('wefto');
 DeleteService('WindowsDefender');
 DeleteFile('C:\Windows\Inf\assemblity\0010\0011\000E\0015\mms.exe','32');
 DeleteFile('C:\Windows\Inf\tracings\000D\1049\5.0\1049\5.0\mms.exe','32');
 DeleteFile('C:\Windows\Inf\assemblity\0010\0011\000E\000A\0015\mms.exe','32');
 DeleteFile('C:\Windows\Inf\tracings\000D\1049\5.0\SQL\lsm.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\drm\smss.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

Перезагрузку компьютера выполните вручную.


Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[groN]

Благодарю за ответ! Через час проверну скрипт и отпишу.

- - - - -Добавлено - - - - -

Скрипт прошел без ошибок. После ребута сделал логи, прикладываю.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[groN]

Доброго времени суток!
Сканирование провел, отчет во вложении.

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
S2 driverssart; C:\Windows\Inf\assemblity\0010\0011\000E\0015\mms.exe [X]
S2 simplexpol; C:\Windows\Inf\tracings\000D\1049\5.0\1049\5.0\mms.exe [X]
S2 stiinstall; C:\Windows\Inf\assemblity\0010\0011\000E\000A\0015\mms.exe [X]
S2 wefto; C:\Windows\Inf\tracings\000D\1049\5.0\SQL\lsm.exe [X]
C:\Windows\Inf\assemblity\0010
C:\Windows\Inf\tracings\000D
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [165]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:1CE11B51 [165]

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Перезагрузку компьютера выполните вручную.

[groN]

Доброго времени суток!
Выполнил, прикрепляю логи к сообщению.

[thyrex]

Что с проблемой?

[groN]

Доброго времени суток!
От души благодарю за помощь в лечении и извиняюсь, что так долго не отвечал.
На данный практически все в порядке: пропали тормоза при работе, права больше не теряются! Но, машина по-прежнему "замерзает" в долгом ребуте на стадии завершения работы (примерно 10 минут) и в процессах периодически появляется (и сразу исчезает) conhost с интересным расположением (скрин во вложении). С чем может быть связано?

[groN]

Доброго времени суток!
Снова возникла та же проблема: потеря прав и подвисание при работе в сети.

[thyrex]

Сделайте лог полного сканирования МВАМ

[groN]

Сохранил логи, но напрямую залить не могу: ругается на превышение допустимого размера для *.txt (959 Кб). Посему, даю линк на гугл-диск: https://drive.google.com/file/d/0B9j...ew?usp=sharing

P.S.: на свежую голову "сообразил", что можно было бы и поменять сам тип файла... Не знаю, нарушил ли я какое-либо правило на форуме внешней ссылкой (каюсъ, если что), потому загнал логи в архив и прикрепляю к сообщению.

[thyrex]

Удалите в МВАМ все, кроме

Код:

CrackTool.Agent, X:\Общая\Секретарь\СOPY\D\ВОДОКАНАЛ\ГЛАВНЫЙ ИНЖЕНЕР\NOD32\NOD32[1].FIX.V1.8-NSANE.EXE, Проигнорировано пользователем, [324], [299351],1.0.2399
CrackTool.Agent, X:\Общая\Секретарь\СOPY\D\ВОДОКАНАЛ\ГЛАВНЫЙ ИНЖЕНЕР\NOD32\NOD32.RAR, Проигнорировано пользователем, [324], [299351],1.0.2399
RiskWare.DontStealOurSoftware, X:\Общая\ту\DRP 13\SOFT\MBAM.EXE, Проигнорировано пользователем, [744], [156874],1.0.2399

[groN]

Отправил зловредов в карантин, прикрепляю логи после перезагрузки.

- - - - -Добавлено - - - - -

Проблемы те же: недостаточно прав при запуске от администратора (той же cmd.exe), подвисания при работе в сети и 10-минутный ребут.

[thyrex]

Сдается мне, что тут что-то системное. То, что у Вас было, к этому вряд ли приведет.

[groN]

Но началось-то все именно с этого... Хотя, может, вредитель ручками подправил. Чтож, мне тоже наука: впредь буду гораздо серьезней относиться к сетевой безопасности и не оставлять шару rdp без присмотра и защиты.
Благодарю за ваше полезное дело!