Подозрение на вирус Wasp (waspwing)

**Vivien Sh** · 25.01.2022, 14:14

Здравствуйте, помогите пожалуйста.
Долгое время уже мой ноутбук (для домашнего пользования) тупит, диспетчер задач показывает, что память и диск работают на 60-100%, даже когда ноутбук был только включен, и стоит без дела. Больше всего памяти и диска жрут процессы поиска, и "индексатор службы майкрософт search". Иногда появляется процесс "Криптографии виндовс", который тоже много ест. Запускается ноутбук долго. Давно подозревала, что сидит вирусняк, но вот недавно он "спалился". Уже пару дней как постоянно вылетает подобная ошибка -

Добавлю, что подобная ошибка (первое изображение) при закрытии появляется снова через 3-4 минуты

Зашла по указанному пути, и нашла вот ЭТО:

Пожалуйста, подскажите, как это убрать (если это зловред), и как можно сделать свою шиндовс более безопасной? И так, и эдак стараешься - всё равно какая-то пакость прилипнет. Заранее спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 25.01.2022, 14:15

Уважаемый(ая) Vivien Sh, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Sandor** · 25.01.2022, 14:55

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

App Explorer
IObit Unlocker
Web Companion

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\windows\profile\dllhostn.exe', '');
 QuarantineFileF('c:\programdata\windows', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');
 DeleteSchedulerTask('Microsoft\Windows\MUI\1814822310');
 DeleteSchedulerTask('Microsoft\Windows\MUI\1953401830');
 DeleteSchedulerTask('Microsoft\Windows\UPnP\UPnP');
 DeleteFile('C:\ProgramData\windows\profile\dllhostn.exe', '');
 DeleteFileMask('c:\programdata\windows', '*', true);
 DeleteDirectory('c:\programdata\windows');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Сделайте повторные логи по правилам. (CollectionLog)

**Vivien Sh** · 25.01.2022, 16:38

Спасибо за ваш ответ!
Единственное - так и не нашла, куда кидать файл-карантин, извините, пожалуйста.

Не совсем поняла, чем IoBitUnlocker плохая программа( Устанавливала для разблокировки некоторых файлов.

Перестала вылезать ошибка, скрин которой отправляла. Уже прогресс! Спасибо! Можете, пожалуйста, сказать, с чем это было связано?

**Sandor** · 25.01.2022, 16:44

Сообщение от Sandor

по ссылке "Прислать запрошенный карантин" вверху темы

В самом верху этой темы есть ссылка, выделенная красным шрифтом. Если все же не получится, не страшно.

Логи уже выглядят значительно лучше. Продолжаем:

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.

**Vivien Sh** · 25.01.2022, 17:33

Спасибо, вот!

Карантин таки отправила.

**Sandor** · 25.01.2022, 17:47

Не трогайте предустановленное ПО (не отмечайте галочками). Чем из перечисленного не пользуетесь, деинсталлируйте штатно через Панель управления - Удаление программ.

Остальное чистим:
1.

Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
- Сбросить политики IE
- Сбросить политики Chrome
Убедитесь, что закрыты все браузеры.
В меню Информационная панель нажмите Запустить проверку.
По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.
(Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).

**Vivien Sh** · 25.01.2022, 18:16

Вот, файлы.

**Sandor** · 25.01.2022, 20:54

App Explorer - по-прежнему в списке установленных.
Если не удаляется стандартно, удалите принудительно через Geek Uninstaller

Далее:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2642785456-698977190-2308175481-1001\...\MountPoints2: {78ea4ee7-cb11-11e9-8f0d-00f48d9f46b4} - "D:\AutoRun.exe" 
HKU\S-1-5-21-2642785456-698977190-2308175481-1001\...\MountPoints2: {cefa19e8-0da1-11ec-8fe2-9828a631111d} - "D:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2642785456-698977190-2308175481-1001\...\MountPoints2: {f6a91c23-eb7a-11ea-8f3a-00f48d9f46b4} - "D:\HiSuiteDownLoader.exe" 
FirewallRules: [{D0579E1A-FB61-479F-B725-160CB08F782C}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{E5BD8D45-8123-4D27-B47C-6822E0B96004}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{A6E3503E-2EA3-418A-966B-717EC39C9EF7}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
FirewallRules: [{77E8B11D-348B-495A-8F80-97AFD43386F6}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{C87AB8BD-AA00-4C90-945A-95467AF11DBB}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{45DA7A7B-676E-4EC0-AF4B-7EE6F14F64D1}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
FirewallRules: [{CF6E5522-1D9C-4C60-A57F-C1AE69973E98}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{7306CE7C-12C0-4108-8B0A-D5B3B5862421}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{E53889B1-0233-4F86-A3BE-72EB90DAD3E6}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
FirewallRules: [{CFF86FE4-A978-4FB0-9B28-263A038C0B8E}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{B974E498-CB59-44C0-97E9-5223E84DEC4F}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{D39CD5A2-BFED-43D7-B314-2C07EA755AD4}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
FirewallRules: [{33D130FE-AF4B-4D28-9F42-1ACA507989D6}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{B9E6563D-FE44-4EF6-8742-745AE36D4D8D}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{819AF232-C802-4888-A0B8-FEAF2C0EA717}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
FirewallRules: [{5CA7185F-561A-4406-A728-AC07CF3DD3E0}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{254DEB4B-F4CD-4C2B-BBCB-04F658B08B08}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{117C9BF1-2CD7-433C-B6DD-635936C30A7E}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
FirewallRules: [{0CBAC3A6-873E-4BDE-B2DD-F475E0AC3CB9}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{4D6D7AA6-03FC-43A9-A9CD-81F411171B7B}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{70FCC9EA-1C99-4022-83EB-EED6CB072D92}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

**Vivien Sh** · 26.01.2022, 06:41

Спасибо ещё раз за ваш ответ.

App explorer не удаляется ни через стандартную утилиту, ни через Geek Uninstaller, ни через Uninstall tool (его просто не видят).

Создала файл fixlist, как того потребовал FRST, скопировала ваш код, исправила.

Попыталась найти и удалить App explorer вручную через предложенный в интернете путь
C:\users\user\appdata\local\host app service\engine\HostAppService.exe
Папку host app service не нашла, зато нашла это (картинка во вложении)

**Sandor** · 26.01.2022, 09:22

Сообщение от Vivien Sh

зато нашла это

А что внутри этой папки?

Запустите от имени администратора FRST64.exe, в поле введите

Код:

App Explorer

и нажмите Искать в реестре.
Появится файл Search.txt, прикрепите его к следующему сообщению.

Что сейчас с основной проблемой?

**Vivien Sh** · 26.01.2022, 10:09

В папке WaspAce лежит папка Levelling, а в ней файл .cm
Могу кинуть сюда эту папку, но форум не разрешает - много памяти уже использовано в хранилище.

Спасибо, уже стало лучше! Но всё равно время от времени показатели поднимаются до 100% а потом спустя полминуты опускаются. Не совсем понятно, это железо моё винду плохо тянет, или сидит зловред, или настройки системные плохие. Если лучше не станет, оплачу помощь+, может объясните, в чём дело. В процессах всё ещё сидят "запустить" и "Microsoft text input application" , и кушают они достаточно. Это нормально?

ОБНОВЛЕНО
за 10 минут скачков пока не было. похоже, это прогружалась ОС

**Sandor** · 26.01.2022, 10:26

Давайте ещё так проверим:
Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

**Vivien Sh** · 26.01.2022, 11:33

Результат проверки

**Sandor** · 26.01.2022, 11:40

Удалить (поместить в карантин) можете только:

Код:

PUP.Optional.BundleInstaller, C:\USERS\Полина\DESKTOP\ПВ\INSCRYPTION_V1.08\INSCRYPTION_V1.08_SETUP.EXE, Проигнорировано пользователем, 510, 892886, 1.0.50305, , ame, , D3C5C9BD73713EF8690C0294DF4B51B8, FDA80B7B870B5ABEDCE844CF375461760286F1B256C2C2023BECD37C31937976
PUP.Optional.BundleInstaller, C:\USERS\Полина\DESKTOP\ПВ\INSCRYPTION_V1.08_KAYCEES_MOD_V0.22\INSCRYPTION_V1.08_KAYCEES_MOD_V0.22_SETUP.EXE, Проигнорировано пользователем, 510, 892886, 1.0.50305, , ame, , E3F57F409083788B1AD9703A08FEFAB0, D2DE2790341B86D75A64930D98656A8B51C96C50C7A4146D072C2D6751C2C5CF

Остальное - активатор и ложное срабатывание на поиск от mail.ru в Хроме.

Подготовьте такой лог:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

**Vivien Sh** · 26.01.2022, 11:49

Сообщение от Sandor

Удалить (поместить в карантин) можете только:

Скажите, пожалуйста, обязательно ли помещать это в карантин? Это игра (хоть и нелицензионая), но скачана была с более-менее проверенного сайта. Или всё-таки вирус?

- - - - -Добавлено - - - - -

вот

**Sandor** · 26.01.2022, 11:55

Сообщение от Vivien Sh

обязательно ли помещать это в карантин?

Можете не помещать, на ваш страх и риск

------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 15.12 (x64) v.15.12 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.310 Внимание! Скачать обновления
Zoom v.5.8.0 (1324) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45311 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 45 (64-bit) v.8.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u321-windows-x64.exe)^
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.13.1887, 19.02.2017 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.270 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Opera Stable 82.0.4227.58 v.82.0.4227.58 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Yandex v.17.1.0.2034 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
S.T.A.L.K.E.R. - Зов Припяти v1.6.02 / RePack by by.dEf0lT Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.

Указанное следует по возможности исправить.

Malwarebytes v.4 деинсталлируйте.

Затем:

Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

Читайте Советы и рекомендации после лечения компьютера.

**Vivien Sh** · 26.01.2022, 12:00

Спасибо большое человеческое!

Знакомым расскажу, какой классный тут форум!
---
Добавила отзыв!

Подозрение на вирус Wasp (waspwing) (заявка № 227564)

Опции темы