Подскажите как удалить hiver? [not-a-virus:RiskTool.Win32.Agent.aouh, not-a-virus:RiskTool.Win32.Agent.amrp
]
Здравствуйте.
Стал замечать, что на сервере после загрузки происходит самопроизвольный запуск окна командной строки и в трее около часов появляется сообщение "Api server created at port 20000". Если навести мышку в трее в это место и нажать правую кнопку мыши, то открывается контекстное меню "Open hiver". Из интернета узнал что скорее всего это Waspace hiver. В диспетчере задач присутствует процесс wahiver. Если его удалить, то приложение в трее закрывается, но через небольшое время самопроизвольно запускается снова. Подскажите, пожалуйста как избавиться от этой заразы. Предполагаю, что подхватил ее когда экспериментировал с драйверами принтера hp.1.JPG2.JPG
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) igor_chaus, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, приложите его в тему.
Здравствуйте.
Все сделал. Подскажите, пожалуйста, где мне взять файл eventwvr.msc и как его заменить. И что посоветуете по поводу критических уязвимостей.
Запустите FAR через правую кнопку мыши Запуск от имени администратора. Найдите через поиск файл EVENTVWR.MSC в подпапках C:\Windows и скопируйте в C:\WINDOWS\SYSTEM32, если не найдёте - извлеките из дистрибутива, как - погуглите. Это быстрее, чем переустанавливать.
Здравствуйте. Я попытался его скопировать вместо того который у меня сейчас в папке windows32. Но windows переписывать отказывается: говорит нет доступа. Хочу загрузить server с какого-нибудь загрузочного диска и переписать. Диска такого у меня нет. Планирую в ближайшее время найти в интернете. Если есть возможность сделать это как то проще, сообщите пожалуйста
Проверьте права безопасности на этот файл, дайте себе полные. Надеюсь, под пользователем с админскими правами пробуете?
Если не поможет - выполните в UVS такой скрипт:
Код:
del c:\Windows\System32\eventvwr.msc
Файл удалится, пробуйте скопировать на его место правильный.
Большое спасибо. Все получилось. Не могли бы Вы подсказать ответы на следующие вопросы:
1.Как эта дрянь попала на сервер. Я грешу на драйвер принтера HP. Я его скачал из непроверенного источника.
2.В логах появился какая то ошибка DCOM связанная с журналом событий. Что это и как ее можно исправить
3.В логах приложение написано, что запущен сервис HP LaserJet. Я удалил этот принтер со всеми драйверами. Почему эта служба продолжает работать. Как ее убрать.
4.Как вы считаете по логам все в системе нормально?1.JPG2.JPG
1. Драйвера нужно скачивать только с офсайтов, это даже не обсуждается. Этот "пакет программ" чаще подсаживают после взлома, через уязвимости, или по RDP.
2. Это уже вопрос для сисадминов, нагуглить рецепты решения можно.
3. Остановите и отключите службу. Файл, кстати, легитимный, от HP.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Сообщение от igor_chaus
