Помогите удалить wasppacer.exe на сервере

[Goga007]

Здравствуйте, обнаружил на RDP сервере процесс wasppaser.exe. Во время работы на сервере через RDP, мышка и все процессы периодически подвисает на 2-5 сек каждые 10-20сек.
логи :
Вложение 465910
Вложение 465911

[Info_bot]

Уважаемый(ая) Goga007, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\windows\ehome\services.exe');
 TerminateProcessByName('c:\windows\ehome\wmisrv.exe');
 TerminateProcessByName('c:\program files\windows nt\accessories\wasp\wasppacer.exe');
 TerminateProcessByName('c:\windows\amsql.exe');
 QuarantineFile('c:\windows\ehome\services.exe','');
 QuarantineFile('C:\Windows\java\trustlib\DPS.bat','');
 QuarantineFile('c:\windows\ehome\wmisrv.exe','');
 QuarantineFile('c:\program files\windows nt\accessories\wasp\wasppacer.exe','');
 QuarantineFile('c:\windows\amsql.exe','');
 QuarantineFileF('C:\Windows\java', '*', true,'', 0, 0, '', '', '');
 QuarantineFileF('c:\windows\ehome', '*', true,'', 0, 0, '', '', '');
 QuarantineFileF('c:\program files\windows nt\accessories\wasp', '*', true,'', 0, 0, '', '', '');
 DeleteFile('C:\Windows\java\trustlib\DPS.bat');
 DeleteFile('c:\windows\amsql.exe','32');
 DeleteFile('c:\program files\windows nt\accessories\wasp\wasppacer.exe','32');
 DeleteFile('c:\windows\ehome\wmisrv.exe','32');
 DeleteFile('c:\windows\ehome\services.exe','32');
 DeleteFileMask('C:\Windows\java','*',true); 
 DeleteDirectory('C:\Windows\java');
 DeleteFileMask('c:\windows\ehome','*',true); 
 DeleteDirectory('c:\windows\ehome');
 DeleteFileMask('c:\program files\windows nt\accessories\wasp','*',true); 
 DeleteDirectory('c:\program files\windows nt\accessories\wasp');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Перезагрузите сервер вручную.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Обновите базы AVZ ("Файл" -> "Обновление баз"), выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте логи RSIT.

[Goga007]

Почистил, перезапустил вот логи:Вложение 465964 ; Вложение 465965
Единственное во время сбора этих логов с компа были TCP соединения на:
217.212.252.168; 74.84.129.18; 23.64.217.83; 157.55.185.118
после сбора логов и завершения процесса ява консоли(висела в трее). Соединения прекратились.
Карантин вроде загрузился

[Vvvyg]

Уже опять всё это хозяйство на сервер залили Прежде надо закрыть дыры, иначе лечить бесполезно.
Чтобы не повторяться - выполните рекомендации отсюда, для начала хотя бы первые 3 пункта.
Затем сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

[Goga007]

Сделал так как написали, исправимся, обновления установлю, повторю лечение, пароли меняли месяц назад во время атак на сервер.

- - - Добавлено - - -

explorer 11 стоит, из обновлений было 2 необязательных для безопасности, установил, и 1 обновление указал АВЗ, поставил. вот новые логи:
Вложение 466037
Вложение 466038
Вложение 466039

[Vvvyg]

Судя по логу AVZ, он последним делался, снова отложили личинку
Java обязательно обновите до 51-го билда.

Установлен MS SQL Server 2008 R2 RTM, как я понимаю. Дыр в нём предостаточно, и взламывают сервера очень часто именно через него. Пароли в нём тоже поменяли, надеюсь?

Список версий Microsoft SQL Server 2008_R2

По хорошему должен быть установлен MS SQL Server 2008 R2 SP2 CU10 (cumulative update 10), минимум просто SP2.
Брандмауэр должен быть настроен так, чтобы порты SQL-сервера были открыты только из локальной сети. Надеюсь, для доступа снаружи он не нужен? RDP тоже это касается - если используется для удалённого управления снаружи - доступ должен быть только с необходимого минимума адресов/подсетей.

Выполните скрипт в uVS:

Код:

;uVS v3.82.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemRoot%\SYSWOW64\CMDO.VBS
zoo %SystemRoot%\system32\dhcp\DNS.bat
dirzooex %SystemRoot%\system32\dhcp
deldir %SystemRoot%\system32\dhcp
zoo %SystemRoot%\SYSWOW64\CMSDLL.EXE
delall %SystemRoot%\SYSWOW64\CMSDLL.EXE
delall %SystemRoot%\ehome\wmisrv.exe
deldir %SystemRoot%\ehome
czoo

Перезагрузите сервер и сделайте через некоторое время, час-два, новый лог AVZ.

[Goga007]

Здравствуйте, почистил, логи:

[Vvvyg]

На момент последнего лога - чисто. Не расслабляйтесь, следите...

В папке с uVS должен быть архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

[Goga007]

Архив загрузил, не расслабляемся накатываем обновления на SQl.
Подскажите еще пожалуйста пароль на архив Zoo? спасибо.

[Vvvyg]

Ещё момент.
Не стоит с сервера выходить в интернет, пусть пользователи делают это со своих компьютеров.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 7
• В ходе лечения вредоносные программы в карантинах не обнаружены