wasp.exe waspwing.exe грузит ОЗУ и процессор [not-a-virus:NetTool.Win32.Agent.accu]

**Den032** · 17.09.2018, 10:52

Добрый день!
Ситуация такая. Есть сервер, на котором стоит софт для управления кассой в кафе....пользуемся серваком через рдп соединение. Вчера с трудом зашёл на сервер....жутко тормозил. Перезагрузил, но тормоза остались. Программой RAMMap посмотрел процессы ..... было много процессов wasp.exe и waspwing.exe. Скачал утилиту dr web cureit.....она нашла и вроде удалила две угрозы. Процессов wasp.exe и waspwing.exe вчера после этого не было....Затем прогнал утилитой avz (лог прилагаю к письму). Сейчас есть подозрение, что dr web cureit не полностью удалил вирус....так же есть подозрение на файлы(процессы) wizard.exe wahiver64.exe wasp.exe waspwing.exe
К письму прилагаю вчерашний лог avz и сегодняшние логи согласно вашей инструции.
Прошу помочь убить заразу до конца!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 17.09.2018, 10:54

Уважаемый(ая) Den032, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 17.09.2018, 21:59

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('C:\Windows\SysWOW64\Radiance\wahiver64.exe');
 TerminateProcessByName('c:\windows\syswow64\radiance\wizard.exe');
 TerminateProcessByName('C:\Windows\SysWOW64\Resident\wahiver.exe');
 QuarantineFile('C:\Users\Asus\Videos\_run.vbs', '');
 QuarantineFile('c:\windows\syswow64\fsproflt2.exe', '');
 QuarantineFile('C:\Windows\SysWOW64\Radiance\wahiver64.exe', '');
 QuarantineFile('c:\windows\syswow64\radiance\wasp.exe', '');
 QuarantineFile('c:\windows\syswow64\radiance\wizard.exe', '');
 QuarantineFile('C:\Windows\SysWOW64\Resident\wahiver.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OVGorskiy.ru.URL');
 DeleteFile('C:\Users\Asus\Videos\_run.vbs', '32');
 DeleteFile('C:\Windows\SysWOW64\Radiance\wahiver64.exe', '');
 DeleteFile('c:\windows\syswow64\radiance\wasp.exe', '');
 DeleteFile('c:\windows\syswow64\radiance\wizard.exe', '');
 DeleteFile('C:\Windows\SysWOW64\Resident\wahiver.exe', '');
 DeleteFileMask('c:\windows\syswow64\radiance', '*', true);
 DeleteFileMask('c:\windows\syswow64\resident', '*', true);
 DeleteDirectory('c:\windows\syswow64\radiance');
 DeleteDirectory('c:\windows\syswow64\resident');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Browser Manager');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**Den032** · 18.09.2018, 09:56

Сделал всё.
Скрипт выполнл.
Архив карантина quarantine.zip, отправил по ссылке "Прислать запрошенный карантин"
Полный образ автозапуска прилагаю к письму

**Vvvyg** · 18.09.2018, 20:35

Скопируйте скрипт из окна "код" ниже в буфер обмена:

Код:

;uVS v4.0.17 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
icsuspend
delref HTTP://OVGORSKIY.RU
dirzooex %SystemRoot%\SYSWOW64\RADIANCE
zoo %SystemRoot%\syswow64\fsproflt2.exe
delall  %SystemRoot%\syswow64\fsproflt2.exe
delall %SystemRoot%\SYSWOW64\RADIANCE\WIZARD.EXE
dirzooex %SystemRoot%\SYSWOW64\RESIDENT
delall %SystemRoot%\syswow64\fsproflt2.exe
addsgn A7A4F676C56A4C724359C2954C809B703DC2758BA9B29625858F4CF9789AF801135B4A02061914146BCC0DFA0E5AC0972D9361070D9639514D3F2D62CF4EAB26 10 Win32.BitCoinMiner.ibto [Kaspersky] 6

chklst
delvir

;---------command-block---------
deldir %SystemRoot%\SYSWOW64\RADIANCE
deldir %SystemRoot%\SYSWOW64\RESIDENT
delref %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\TEMP\JRE-8U121-WINDOWS-AU.EXE
apply
czoo
restart

Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

**Den032** · 19.09.2018, 06:32

Готово....архив отправил....лог прилагаю

**Vvvyg** · 19.09.2018, 06:53

Что с проблемой?

Сделайте лог сканирования МВАМ.

**Den032** · 19.09.2018, 15:39

Признаков проблемы не вижу (не тормозит, ресурсы не жрёт)
Но в процессах видны wizard.exe и wahiver.exe (не знаю должны ли они быть)....программа RAMMap видит много процессов wasp.exe.
Прилагаю скрин и лог сканирования MBAM

**Vvvyg** · 19.09.2018, 19:02

Есть под рукой LiveCD или LiveUSB с Windows?

**Den032** · 20.09.2018, 14:53

Под рукой нет, но могу сделать LiveUSB

**Vvvyg** · 20.09.2018, 19:43

Загрузитесь с него, запустите текущий билд Universal Virus Sniffer (UVS). Щёлкните "Выбрать каталог Windows", откроется проводник с выбором папки системы, укажите папку "С:\Windows" (у вас может быть папка Windows.0 или иная, главное чтобы она содержала Вашу ОС).
После того, как Вы указали каталог зараженной системы, выберите пункт "Запустить под текущим пользователем"
Сделайте полный образ автозапуска uVS (начиная с п. 5).

**Den032** · 21.09.2018, 11:19

ok .... сделаю.....только это займёт время

**Den032** · 24.09.2018, 16:30

Сделал. К сообщению не получилось прикрепить

Закинул на яндекс диск.....вот ссылка https://yadi.sk/d/67NeY2-Cj6gnxQ

**Vvvyg** · 24.09.2018, 21:49

Скачайте актуальную версию UVS.
Загрузитесь с LiveUSB, также, как в прошлый раз, запустите UVS, выберите каталог Windows заражённой системы и выполните скрипт из вложения (сохраните заранее):

Код:

;uVS v4.0.18 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\RADIANCE\WASP.EXE
addsgn A7679B1991A27FB282917E3821049B40ED03B92E00BFCBF1C01F7DB45A4771A477796DA80D95C8217BE4169F22E9799EF4FF001B6A1A4FC4D1D90AD02F9D6AB3 11 WaspAce Wasp 7

zoo %SystemRoot%\SYSWOW64\RADIANCE\UPDATER.EXE
addsgn 925277DA0F6AC1CC0B044B4EA34F1EB93E8AD2F84E7F48FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 Downloader.Agent (WaspAce) 7

zoo %SystemRoot%\SYSWOW64\RESIDENT\WAHIVER.EXE
addsgn A7A4F676C56A4C724359C2954C809B703DC2758BA9B29625858F4CF9789AF801135B4A02061914146BCC0DFA0E5AC0972D9361070D9639514D3F2D62CF4EAB26 10 Win32.BitCoinMiner.ibto [Kaspersky] 6

chklst
delvir

zoo %SystemRoot%\SYSWOW64\RADIANCE\WIZARD.EXE
delall %SystemRoot%\SYSWOW64\RADIANCE\WIZARD.EXE
zoo %SystemRoot%\SYSWOW64\RADIANCE\WAHIVER64.EXE
delall %SystemRoot%\SYSWOW64\RADIANCE\WAHIVER64.EXE
zoo %SystemRoot%\SYSWOW64\RADIANCE\SVCHOST.EXE
delall %SystemRoot%\SYSWOW64\RADIANCE\SVCHOST.EXE
delref CTFMON.VBS
delref WIZARD.EXE
delall %SystemRoot%\syswow64\fsproflt2.exe
deldir %SystemRoot%\SYSWOW64\RADIANCE
deldir %SystemRoot%\SYSWOW64\RESIDENT
apply
czoo

Перезагрузитесь в систему с HDD/

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

**Den032** · 27.09.2018, 16:46

Сделал. Файл начинающимся с ZOO_ отправил по ссылке "Прислать запрошенный карантин"....лог прилагаю к сообщению.

После выполнения скрипта и обычной загрузки с hdd процессов wizard.exe wahiver64.exe wasp.exe waspwing.exe нет....ОЗУ и ЦП не перегружены.

Если в логах после выполнения скрипта нет ничего подозрительного, считаю проблему решённой!

Спасибо!

**Vvvyg** · 27.09.2018, 20:34

Нет, всё, как планировалось. прошло.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**Den032** · 27.09.2018, 21:58

Готово

**Vvvyg** · 27.09.2018, 22:09

Удалите Malwarebytes.

Microsoft Silverlight v.5.1.41212.0 Внимание! Скачать обновления

Обновите или удалите вовсе.

--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 20 ActiveX v.20.0.0.270 Внимание! Скачать обновления
Adobe Flash Player 20 NPAPI v.20.0.0.267 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 62.0 (x64 ru) v.62.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

Это обновите обязательно.

На этом всё.

**Den032** · 28.09.2018, 10:27

Выше указанные рекомендации сделал.

Malwarebytes удалил....остальное обновил до актуальных версий

Спасибо!

**CyberHelper** · 28.09.2018, 10:37

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 13
В ходе лечения обнаружены вредоносные программы:
1. \wasp.exe._48ef1a62c620104325ef1ad2e3bdc2950546189 7 - not-a-virus:NetTool.Win32.Agent.accu

wasp.exe waspwing.exe грузит ОЗУ и процессор [not-a-virus:NetTool.Win32.Agent.accu] (заявка № 220274)

Опции темы