Странное поведение ПК

**gogimon** · 22.06.2021, 01:11

Здравствуйте, в диспетчере задач появляется waspwing и в микшере громкости приложение которое не открывал

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 22.06.2021, 01:12

Уважаемый(ая) gogimon, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 22.06.2021, 07:50

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\Windows\Profile\1.vbs', '');
 QuarantineFile('C:\ProgramData\windows\profile\dllhostn.exe', '');
 QuarantineFileF('c:\programdata\windows', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
 DeleteFile(' C:\WINDOWS\WrpYGF74DrEm.ini', '');
 DeleteFile('C:\Program Files (x86)\Lavasoft\Web', '32');
 DeleteFile('C:\Program Files (x86)\Lavasoft\Web', '64');
 DeleteFile('C:\ProgramData\Windows\Profile\1.vbs', '64');
 DeleteFile('C:\ProgramData\windows\profile\dllhostn.exe', '');
 DeleteFile('Companion\Application\WebCompanion.exe', '32');
 DeleteFile('Companion\Application\WebCompanion.exe', '64');
 DeleteFileMask('c:\program files (x86)\lavasoft', '*', true);
 DeleteFileMask('c:\programdata\windows', '*', true);
 DeleteFileMask('c:\programdata\windows\profile', '*', false);
 DeleteDirectory('c:\program files (x86)\lavasoft');
 DeleteDirectory('c:\programdata\windows');
 DeleteDirectory('c:\programdata\windows\profile');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'btweb', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Web Companion', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Web Companion', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Delete Cached Standalone Update Binary', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Delete Cached Standalone Update Binary', 'x64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Delete Cached Update Binary', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Delete Cached Update Binary', 'x64');
 DeleteSchedulerTask('Microsoft\Windows\FileHistory\FileHistory');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');
 DeleteSchedulerTask('Opera scheduled assistant Autoupdate 1546357536');
 DeleteSchedulerTask('Opera scheduled Autoupdate 1546357528');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**gogimon** · 23.06.2021, 18:09

Готово

**Vvvyg** · 23.06.2021, 19:41

Что с проблемой?

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
deltmp
del %SystemDrive%\USERS\PAVEL\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\BITTORRENT WEB.LNK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemDrive%\USERS\PAVEL\APPDATA\LOCAL\MICROSOFT\TEAMSMEETINGADDIN\1.0.20244.4\X64\MICROSOFT.TEAMS.ADDINLOADER.DLL
delref %SystemDrive%\USERS\АЛЕКС\APPDATA\LOCAL\TEMP\{B3EDE298-AE75-4A1C-AB7E-1B9229B77BBE}\IDRIVER.NONELEVATED.EXE
delref %SystemDrive%\USERS\PAVEL\APPDATA\LOCAL\MICROSOFT\TEAMSMEETINGADDIN\1.0.20244.4\X86\MICROSOFT.TEAMS.ADDINLOADER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
delref %SystemDrive%\USERS\PAVEL\APPDATA\ROAMING\BITTORRENT WEB\BTWEB.EXE
apply
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**gogimon** · 23.06.2021, 20:15

При загрузке рабочего стола заметил открытие командной строки на короткое время
waspwing пропал

**Vvvyg** · 23.06.2021, 23:12

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
Unlock: C:\ProgramData\Windows
Folder: C:\ProgramData\Windows
2021-06-23 17:43 - 2021-05-09 03:25 - 000000000 _RSHD C:\ProgramData\Windows
CMD: cmd /C del /Q /F /S C:\ProgramData\Windows
CMD: cmd /C rd /Q /S C:\ProgramData\Windows
IE trusted site: HKU\S-1-5-21-97294634-324710134-2609210057-1000\...\cezurity.com -> hxxps://vk-local-server.cezurity.com
IE trusted site: HKU\S-1-5-21-97294634-324710134-2609210057-1000\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-97294634-324710134-2609210057-1000\...\webcompanion.com -> hxxp://webcompanion.com
FirewallRules: [{887DCAAD-AB36-4861-B349-A841352D3BE4}] => (Allow) C:\Users\Pavel\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{3E574A25-1932-44CA-8E3B-DDEF0D2822E0}] => (Allow) C:\Users\Pavel\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [UDP Query User{868D4036-DF9B-4FC4-B532-55E55D602FE3}G:\sdi_r535\sdi_x64_r535.exe] => (Block) G:\sdi_r535\sdi_x64_r535.exe => Нет файла
FirewallRules: [TCP Query User{DAF9F482-E943-47BE-BA1B-02C705A755DE}G:\sdi_r535\sdi_x64_r535.exe] => (Block) G:\sdi_r535\sdi_x64_r535.exe => Нет файла
FirewallRules: [TCP Query User{72D0EADD-E0B2-4B2A-B6F7-7B1704E1A136}D:\warpips v1.0\warpips.exe] => (Block) D:\warpips v1.0\warpips.exe => Нет файла
FirewallRules: [UDP Query User{E70A4351-5CA4-40D4-8F95-A2316C4F0FB8}D:\warpips v1.0\warpips.exe] => (Block) D:\warpips v1.0\warpips.exe => Нет файла
FirewallRules: [TCP Query User{D0165912-EAB1-4557-AF04-0F3E79DC1566}D:\jets'n'guns 2 v1.03\jng2.exe] => (Block) D:\jets'n'guns 2 v1.03\jng2.exe => Нет файла
FirewallRules: [UDP Query User{177ACA22-0D77-468C-A087-1179362EAB02}D:\jets'n'guns 2 v1.03\jng2.exe] => (Block) D:\jets'n'guns 2 v1.03\jng2.exe => Нет файла
FirewallRules: [TCP Query User{F46FE24C-F960-42EF-8A1C-351AA694E418}D:\risk of rain 2\risk of rain 2.exe] => (Block) D:\risk of rain 2\risk of rain 2.exe => Нет файла
FirewallRules: [UDP Query User{E6DB21EA-F025-48E1-8452-DA99765FE5BF}D:\risk of rain 2\risk of rain 2.exe] => (Block) D:\risk of rain 2\risk of rain 2.exe => Нет файла
FirewallRules: [{4565C95F-4AE1-44A9-9AE8-060A0A9D7183}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{BF16861A-65F9-46C5-8693-C5D4AA335386}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{8FE96562-8D6E-4EC8-BEE9-5AF0B287B796}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
FirewallRules: [{532C600A-8DD9-496E-B26C-F81831AF2BAB}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{E9BC51DF-7838-4664-912D-4BC1EA68941B}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{DD285CF3-5DA0-41B7-85CE-626378312256}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
FirewallRules: [{DB0E91C5-D767-4841-8EC5-C4B5BED22A02}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{CCCCCF0A-A911-475D-AA86-2AF8D218BDCD}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{C5CC2A44-8480-41D9-A7BE-62609F9F953D}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
FirewallRules: [{76BBDCFE-5879-4A11-B6C7-5CC7EEDAB934}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{600474A5-438A-4A50-84CF-C8697366E691}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{0510FCAD-DB4D-4688-B1C6-85BC2B30AFA5}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**gogimon** · 23.06.2021, 23:23

Вот

**Vvvyg** · 24.06.2021, 07:13

2 раза исправление не стоило делать, ну ладно уж.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Странное поведение ПК (заявка № 226925)

Опции темы