Показано с 1 по 9 из 9.

Процессы Wasp.exe, waspwing.exe, wahiver.exe плодятся в диспетчере и грузят систему. (заявка № 217654)

  1. #1
    Junior Member Репутация
    Регистрация
    09.02.2018
    Сообщений
    4
    Вес репутации
    1

    Thumbs up Процессы Wasp.exe, waspwing.exe, wahiver.exe плодятся в диспетчере и грузят систему.

    • Добрый день! Пачка процессов Wasp.exe, waspwing.exe, wahiver.exe и taskhostex.exe плодятся в диспетчере и грузят систему до 100% ЦП

      Пробовал скрипт AVZ из заявки 204925. Помогло частично, процессов стало меньше. Есть подозрения что ЭТО просочилось на сервер через уязвимость Adobe Flash в Google Chrome.

      Помогите пожалуйста!
      Логи из AutoLogger и uVS прилагаются.
    Вложения Вложения
    Последний раз редактировалось Kroshaenot; 09.02.2018 в 17:16.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) Kroshaenot, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,162
    Вес репутации
    848
    Если уж лог AutoLogger выкладываете -так как есть, не надо паковать в архив то, что Вам захотелось. Логов AVZ нет в результате.

    Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
    Код:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    cexec tools\CreateRestorePoint.exe BeforeCure
    ;------------------------autoscript---------------------------
    
    hide %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ENDPOINT SECURITY 10 FOR WINDOWS SP2\NETWATCH.PPL
    zoo %SystemRoot%\INF\SDBSERV\0009\V3.5.56385\1049\5.0\WAHIVER.EXE
    addsgn A7679B19919AF4A6B18BAE59D0B9F2FA4D62FFF6891279D5653C03B9C4FF134C237F171C5E55F74941816CE6EAF6B659F1F68A72D6E73C054F77A45BD3A7AE5A 9 Malware.RDM.38!5.2C [Rising] 7
    
    zoo %SystemRoot%\INF\DBVSERVICE\0010\0011\000E\0015\MMS.EXE
    addsgn 98C41F2A476A4D9ACED5AEB102492F05258AFDBBD38F37D9B9C3C5BDD16E714C231693123E55E85E24370C874616487B84D4E97255AE91ADD47CA62FC77224F0 8 lsm.exe 7
    
    zoo %SystemRoot%\INF\DBVSERVICE\0010\0011\000E\0015\TASKHOSTEX.EXE
    addsgn 1ADE289A5583C58CF42B254E3143FE54A6EF00F6DA7142680018B0BB631698D62317C301BDAE993B5E0DF763C3E03D94F692E4F910D23A3CAEB7A0AC0602A6A1 8 Trojan.Reconyc [VBA32] 7
    
    zoo %SystemRoot%\INF\SDBSERV\000D\1049\5.0\SQL\LSM.EXE
    zoo %SystemRoot%\INF\SDBSERV\000D\1049\5.0\SQL\SSMS.EXE
    zoo %SystemRoot%\INF\SDBSERV\000D\1049\5.0\1049\5.0\MMS.EXE
    zoo %SystemRoot%\INF\SDBSERV\000D\1049\5.0\1049\5.0\SPOOLSV.EXE
    addsgn 1A0E299A5583C58CF42B254E3143FE54A6EF00F6DA7142680018B0BB631698D62317C301BDAE993B5E0DF763C3E03D94F692E4F910D23A3CAEB7A0AC0602A6A1 8 Trojan ( 004e28701 ) [K7GW] 7
    
    zoo %SystemRoot%\INF\SDBSERV\0009\V3.5.56385\1049\5.0\WASPWING.EXE
    addsgn A7679B234D6A4C7261D4C4B12DBDEB549DD6E0A589122D6E683CF67C05BE34E67017A7A80E311469998125FFCC4549128D6A048DF6BE2C792DCFCCB39206A966 17 WaspAce waspwing 7
    
    zoo %SystemRoot%\INF\SDBSERV\0009\V3.5.56385\1049\5.0\WASP.EXE
    addsgn A7679B1991A27FB282917E3821049B40ED03B92E00BFCBF1C01F7DA0D74671A477F96DA80D95C8217964159F22E9799EF4FF0027E01A4FC4D55A0BD02F819CB3 8 WaspAce Wasp 7
    
    chklst
    delvir
    deldir %SystemRoot%\INF\SDBSERV
    deltmp
    czoo
    apply
    ;-------------------------------------------------------------
    Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.

    Перезагрузите сервер.

    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    09.02.2018
    Сообщений
    4
    Вес репутации
    1

    Ответ

    Логов AVZ нет т.к Autologger корректно не отрабатывал. Что смог собрать для полноты картины, то и выложил одним архивом, дабы не создавать 100500 ссылок на килобайтные файлы. Ранее загрулившись с флешки частично поубивал зловредные exe-шники, после выполнения Вашего скрипта бесконтрольная сетевая активность прекратилась, пропали так же и непонятные процессы в диспетчере. Спасибо большое! карантин загружен. Лог выкладываю.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,162
    Вес репутации
    848
    Не нужно полностью цитировать сообщения, это ухудшает читаемость темы, просто пишите в окне "Быстрый ответ". И на премодерацию сообщения попадать не будут.
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    09.02.2018
    Сообщений
    4
    Вес репутации
    1
    Готово!
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,162
    Вес репутации
    848
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    S2 tasksdbservice; C:\Windows\Inf\dbvservice\0010\0011\000E\0015\mms.exe [X]
    S2 wtsfxpoll; C:\Windows\Inf\sdbserv\000D\1049\5.0\1049\5.0\mms.exe [X]
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
    Запустите FRST, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

    Взломали сервер, скорее всего, по RDP, светится на стандартном порту и никакой защиты от брутфорса. Через политики ограничьте число попыток входа с неверным паролем. Администраторов в системе явный избыток. Смените пароли на учётки с администраторскими правами и у пользователей, имеющих доступ по RDP, у кого админские права были не по делу - отобрать не обращая внимания на вопли. Для 99% программ проблемы с работой под пользователем без прав администратора решаются изменением прав безопасности на соответствующие папки и ветки реестра.

    На мой взгляд, лучше вообще запретить пользователям (да и админам без особой надобности тоже) выходить в интернет с сервера, скачивать, устанавливать и запускать программы, браузеры, это повышает вероятность взлома на порядок. Пользователь должен выходить в интернет со своего компьютера. Политики безопасности для того и существуют.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    09.02.2018
    Сообщений
    4
    Вес репутации
    1
    Я Вас понял. Закрою все коннекты политиками. Усилю настройки Касперского. Уязвимость показал только одну "Отключен UAC", был сразу же включен. Лог прилагаю.
    Вложения Вложения
    • Тип файла: txt Fixlog.txt (985 байт, 1 просмотров)

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,162
    Вес репутации
    848
    Удалите папку C:\FRST со всем содержимым.

    Выполните рекомендации после лечения.

  • Уважаемый(ая) Kroshaenot, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Wahiver, wasp, waspwing в диспетчере и keylogger MPK
      От itage в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 06.06.2017, 21:16
    2. Процессы wasp.exe и wahiver.exe грузят сервер
      От Sherifff в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 08.04.2017, 00:13
    3. Ответов: 11
      Последнее сообщение: 09.11.2016, 20:09
    4. Ответов: 14
      Последнее сообщение: 21.10.2016, 21:28
    5. Процессы wasp.exe и waspwing.exe грузят систему
      От MrMozer в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 25.09.2016, 20:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01210 seconds with 20 queries