Нужна помощь в лечении. OWAZU.exe wasp.exe wahiver.exe

[CHIPS]

Добрый день. Столкнулся с неприятной проблемой - на Windows server 2008 обнаружились лишние процессы (в заголовке) располагались в "c:\ProgramData\Microsoft\DRM\". Лечение бесплатными утилитами результата не дало. находили эти файлы и после перезагрузке они возвращались. Процесс "OWAZU.exe" грузит процессор и читает файлы с винта очень активно, но при открытии диспетчера задач пропадает примерно через 5-7 секунд. Процесс "wahiver.exe" висит постоянно и грузит процессор. Процессы "wasp.exe" "waspwing.exe" "NetFramework.exe" появляются и пропадают периодически.

CollectionLog-2020.02.10-18.31.zip

[thyrex]

Логи сделаны устаревшей версией Autologger. Скачайте актуальную по ссылке в правилах и переделайте логи.

[CHIPS]

Логи сделаны устаревшей версией Autologger. Скачайте актуальную по ссылке в правилах и переделайте логи.

Извиняюсь! Выгрузил новый.

CollectionLog-2020.02.11-11.33.zip

[Sandor]

Пролечите систему с помощью KVRT. Зайдите в папку C:\KVRT_Data\, упакуйте папку Reports в архив и прикрепите к следующему сообщению.

После этого ещё раз соберите новый CollectionLog Автологером.

[CHIPS]

Пролечите систему с помощью KVRT. Зайдите в папку C:\KVRT_Data\, упакуйте папку Reports в архив и прикрепите к следующему сообщению.

После этого ещё раз соберите новый CollectionLog Автологером.

Выполнено.

CollectionLog-2020.02.11-16.02.zip

Reports.rar

[Sandor]

Скрипт по возможности выполняйте в безопасном режиме.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\services.exe');
 TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\wahiver.exe');
 TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\wasp.exe');
 TerminateProcessByName('c:\documents and settings\all users\microsoft\drm\wa\waspwing.exe');
 TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Qredafi\NetFramework.exe');
 TerminateProcessByName('c:\programdata\microsoft\drm\smss.exe');
 StopService('WindowsDefender');
 QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe', '');
 QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\wahiver.exe', '');
 QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\wasp.exe', '');
 QuarantineFile('c:\documents and settings\all users\microsoft\drm\wa\waspwing.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\Qredafi\NetFramework.exe', '');
 QuarantineFile('c:\programdata\microsoft\drm\smss.exe', '');
 QuarantineFile('C:\Users\Администратор\appdata\roaming\etranslator\etranslator.exe', '');
 QuarantineFile('C:\Windows\Fonts\web\taskhost.exe', '');
 QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
 QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
 QuarantineFileF('c:\windows\inf\netlibrariestip', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteSchedulerTask('Microsoft\Windows\EntityFramework\NetFramework');
 DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\services.exe', '');
 DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\wahiver.exe', '32');
 DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\wasp.exe', '32');
 DeleteFile('c:\documents and settings\all users\microsoft\drm\wa\waspwing.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Qredafi\NetFramework.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\DRM\Qredafi\NetFramework.exe', '64');
 DeleteFile('c:\programdata\microsoft\drm\smss.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\drm\smss.exe', '64');
 DeleteFile('C:\Users\Администратор\appdata\roaming\etranslator\etranslator.exe', '32');
 DeleteFile('C:\Windows\Fonts\web\taskhost.exe', '64');
 DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe', '');
 DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe', '');
 DeleteService('TrkWk');
 DeleteService('WindowsDefender');
 DeleteFileMask('c:\windows\inf\netlibrariestip', '*', true);
 DeleteDirectory('c:\windows\inf\netlibrariestip');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[CHIPS]

Отправил, но ответ не получил. Новый лог во вложении

CollectionLog-2020.02.14-11.45.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[CHIPS]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Выполнено

Addition.txt

FRST.txt

[Sandor]

Администраторы все ваши?

 

admin (S-1-5-21-3251624697-1898159764-3487312790-1094 - Administrator - Enabled)

Rais (S-1-5-21-3251624697-1898159764-3487312790-500 - Administrator - Enabled) => C:\Users\Администратор

User (S-1-5-21-3251624697-1898159764-3487312790-1093 - Administrator - Enabled)

view (S-1-5-21-3251624697-1898159764-3487312790-1073 - Administrator - Enabled) => C:\Users\view

Лишних отключите или удалите.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

etranslator

Далее:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  HKU\S-1-5-21-3251624697-1898159764-3487312790-500\...\MountPoints2: {53154ca1-8c3d-11e1-8f1b-806e6f6e6963} - G:\setup.exe
  IFEO\sethc.exe: [Debugger] seth.exe
  HKU\S-1-5-21-3251624697-1898159764-3487312790-500\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
  S0 118848226F; system32\drivers\118848226F.sys [X]
  2020-02-12 07:59 - 2014-05-20 12:29 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\etranslator
  AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [152]
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

 

Подробнее читайте в этом руководстве.

Изменено 19 февраля, 2020 пользователем Sandor