Перейти к содержанию
CHIPS

Нужна помощь в лечении. OWAZU.exe wasp.exe wahiver.exe

Рекомендуемые сообщения

Добрый день. Столкнулся с неприятной проблемой - на Windows server 2008 обнаружились лишние процессы (в заголовке) располагались в "c:\ProgramData\Microsoft\DRM\". Лечение бесплатными утилитами результата не дало. находили эти файлы и после перезагрузке они возвращались. Процесс "OWAZU.exe" грузит процессор и читает файлы с винта очень активно, но при открытии диспетчера задач пропадает примерно через 5-7 секунд. Процесс "wahiver.exe" висит постоянно и грузит процессор. Процессы "wasp.exe" "waspwing.exe" "NetFramework.exe" появляются и пропадают периодически.

CollectionLog-2020.02.10-18.31.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Логи сделаны устаревшей версией Autologger. Скачайте актуальную по ссылке в правилах и переделайте логи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Логи сделаны устаревшей версией Autologger. Скачайте актуальную по ссылке в правилах и переделайте логи.

Извиняюсь! Выгрузил новый.

CollectionLog-2020.02.11-11.33.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пролечите систему с помощью KVRT. Зайдите в папку C:\KVRT_Data\, упакуйте папку Reports в архив и прикрепите к следующему сообщению.

После этого ещё раз соберите новый CollectionLog Автологером.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пролечите систему с помощью KVRT. Зайдите в папку C:\KVRT_Data\, упакуйте папку Reports в архив и прикрепите к следующему сообщению.

После этого ещё раз соберите новый CollectionLog Автологером.

Выполнено.

CollectionLog-2020.02.11-16.02.zip

Reports.rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скрипт по возможности выполняйте в безопасном режиме.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\services.exe');
 TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\wahiver.exe');
 TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\wasp.exe');
 TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\waspwing.exe');
 TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Qredafi\NetFramework.exe');
 TerminateProcessByName('c:\programdata\microsoft\drm\smss.exe');
 StopService('WindowsDefender');
 QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe', '');
 QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\wahiver.exe', '');
 QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\wasp.exe', '');
 QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\waspwing.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Qredafi\NetFramework.exe', '');
 QuarantineFile('c:\programdata\microsoft\drm\smss.exe', '');
 QuarantineFile('C:\Users\Администратор\appdata\roaming\etranslator\etranslator.exe', '');
 QuarantineFile('C:\Windows\Fonts\web\taskhost.exe', '');
 QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
 QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
 QuarantineFileF('c:\windows\inf\netlibrariestip', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteSchedulerTask('Microsoft\Windows\EntityFramework\NetFramework');
 DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe', '');
 DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\wahiver.exe', '32');
 DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\wasp.exe', '32');
 DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\waspwing.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Qredafi\NetFramework.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Qredafi\NetFramework.exe', '64');
 DeleteFile('c:\programdata\microsoft\drm\smss.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\drm\smss.exe', '64');
 DeleteFile('C:\Users\Администратор\appdata\roaming\etranslator\etranslator.exe', '32');
 DeleteFile('C:\Windows\Fonts\web\taskhost.exe', '64');
 DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
 DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
 DeleteService('TrkWk');
 DeleteService('WindowsDefender');
 DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
 DeleteDirectory('c:\windows\inf\netlibrariestip');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Выполнено

Addition.txt

FRST.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Администраторы все ваши?

 

admin (S-1-5-21-3251624697-1898159764-3487312790-1094 - Administrator - Enabled)

Rais (S-1-5-21-3251624697-1898159764-3487312790-500 - Administrator - Enabled) => C:\Users\Администратор

User (S-1-5-21-3251624697-1898159764-3487312790-1093 - Administrator - Enabled)

view (S-1-5-21-3251624697-1898159764-3487312790-1073 - Administrator - Enabled) => C:\Users\view

Лишних отключите или удалите.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

etranslator

Далее:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    HKU\S-1-5-21-3251624697-1898159764-3487312790-500\...\MountPoints2: {53154ca1-8c3d-11e1-8f1b-806e6f6e6963} - G:\setup.exe
    IFEO\sethc.exe: [Debugger] seth.exe
    HKU\S-1-5-21-3251624697-1898159764-3487312790-500\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
    S0 118848226F; system32\drivers\118848226F.sys [X]
    2020-02-12 07:59 - 2014-05-20 12:29 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\etranslator
    AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [152]
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

 

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.