wasp.exe пытается перейти на какой-то сайт

[feargg]

В последнее время Avast частенько выдает сообщение, что было прервано подключение к bmst.pw из-за заражения трояном. В строке процесса указывается C:\ProgramData\Windows\Profile\wasp.exe

Видел, что у многих этот процесс в диспетчере задач заседает, но у себя такого не замечал.

Также Avast недавно закинул powershell.exe в карантин из-за IDP.Generic%s_cmd, стоит ли этого опасаться?

[Info_bot]

Уважаемый(ая) feargg, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\windows\profile\dllhostn.exe');
 TerminateProcessByName('c:\programdata\windows\profile\wasp.exe');
 TerminateProcessByName('c:\programdata\windows\profile\waspwing.exe');
 QuarantineFile('c:\programdata\windows\profile\dllhostn.exe', '');
 QuarantineFile('c:\programdata\windows\profile\wasp.exe', '');
 QuarantineFile('c:\programdata\windows\profile\waspwing.exe', '');
 DeleteFile('c:\programdata\windows\profile\dllhostn.exe', '');
 DeleteFile('c:\programdata\windows\profile\dllhostn.exe', '64');
 DeleteFile('c:\programdata\windows\profile\wasp.exe', '');
 DeleteFile('c:\programdata\windows\profile\wasp.exe', '64');
 DeleteFile('c:\programdata\windows\profile\waspwing.exe', '');
 DeleteFileMask('c:\programdata\windows', '*', true);
 DeleteDirectory('c:\programdata\windows');
 DeleteSchedulerTask('Microsoft\Windows\Mobile Broadband Accounts\Mobile Broadband Accounts');
 DeleteSchedulerTask('Microsoft\Windows\MUI\1058016349');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Admin1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\osu!.lnk"      -> ["C:\Games\osu!\osu!.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Age of Mythology Extended Edition\Играть Age of Mythology Extended Edition.lnk"        -> ["C:\Games\Age of Mythology Extended Edition\GameLauncher.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtMoney SE\ArtMoney SE v8.06.lnk"        -> ["C:\Games\ArtMoney\am806.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtMoney SE\Руководство пользователя.lnk"           -> ["C:\Games\ArtMoney\Help\russian.chm"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtMoney SE\Посетить сайт ArtMoney.lnk"   -> ["C:\Games\ArtMoney\am806_rus.url"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtMoney SE\Регистрация ArtMoney через Интернет.lnk"          -> ["C:\Games\ArtMoney\register_rus.url"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Enter the Gungeon\Удалить Enter the Gungeon.lnk"      -> ["C:\Games\Enter the Gungeon\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Enter the Gungeon\Enter the Gungeon.lnk"    -> ["C:\Games\Enter the Gungeon\EtG.exe"]
>>>  "C:\Users\Admin1\Desktop\progs\Acrobat Reader DC.lnk"   -> ["C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AcroRd32.exe"]
>>>  "C:\Users\Admin1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b15f30ab853b7d31\Diablo III.lnk"       -> ["C:\Games\Diablo"  =>> III\x64\Diablo III Launcher.exe]
>>>  "C:\Users\Admin1\Desktop\gg\Hearthstone.lnk"  -> ["C:\Games\Hearthstone\Hearthstone Beta Launcher.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Enter the Gungeon\Uninstall Enter the Gungeon.lnk"    -> ["C:\Games\Enter the Gungeon\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Hotline Miami\Hotline Miami.lnk"  -> ["C:\Games\Hotline Miami\HotlineLauncher.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Hotline Miami\Uninstall Hotline Miami.lnk"  -> ["C:\Games\Hotline Miami\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Into the Breach\Удалить Into the Breach.lnk"          -> ["C:\Games\Into the Breach\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Into the Breach\Into the Breach.lnk"        -> ["C:\Games\Into the Breach\Breach.exe"]
>>>  "C:\Users\Admin1\Desktop\gg\Diablo III.lnk"   -> ["C:\Games\Diablo III\Diablo III Launcher.exe"]
>>>  "C:\Users\Admin1\Desktop\progs\Wallpaper Engine (64 bit).lnk"     -> ["C:\Program Files (x86)\Wallpaper Engine\wallpaper64.exe"]
>>>  "C:\Users\Admin1\Desktop\gg\Frostpunk.lnk"    -> ["C:\Games\Frostpunk\Frostpunk.exe"]

Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[feargg]

Отчеты

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
Listpermissions: C:\ProgramData\Windows
Unlock: C:\ProgramData\Windows
Folder: C:\ProgramData\Windows
2022-01-22 21:05 - 2022-02-15 22:56 - 000000000 _RSHD C:\ProgramData\Windows
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\temp\*.*"
endbatch:
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> Нет файла
FirewallRules: [{BDA33BD8-1730-4954-A62E-EBE76A9C8D3C}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{64C595F6-4CCA-46A8-B777-DBD66698A0DC}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{1EB567A5-C570-4980-8811-70DE92105CE5}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

[feargg]

Папка Windows со всем ее содержимым благополучно удалилась из C:\ProgramData\

Касательно подозрительного подключения, думаю, что без wasp.exe не должно быть ничего подобного, но наверняка это только время покажет.

[Vvvyg]

Давайте ещё проверку сделаем, хотя в этом случае именно Wasppacer виноват.

Сделайте лог Malwarebytes AdwCleaner.

[feargg]

Вот

[Vvvyg]

Auslogics BoostSpeed просто деинсталлируйте.

Запустите AdwCleaner, меню Параметры - Удалить AdwCleaner (в самом низу) - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

И на этом всё.

[feargg]

Понял, так и сделаем. Благодарю за помощь!