Самоклонирующийся вирус Wasp действующий через taskeng.exe

@Randomagentfrom · Регистрация: 02.12.2020

Студворк — интернет-сервис помощи студентам

ОС Windows 7 "Максимальная"
Примерно четыре месяца назад мой антивирус Comodo бесплатной вариации обнаружил что незнакомый мне файл Wasp.exe пытается сделать нечто подозрительное. Я это сделать не позволил, и заблокировал файл. Но почти сразу начали появляться один за одним оповещения от антивируса что исполняющие файлы wasp, waspace, waspwing ... в разных вариациях имён пытаются сделать нечто подозрительное. На все уведомления ответ был один - "не пущать, в карантин отправлять" но уведомления не прекращались. Быстрое сканирование не нашло угроз. Я нашёл папку с этими файлами и удалил её. Уведомления прекратились.
Но сегодня у меня появилась ошибка
"Service.exe точка входа в процедуру RegisterPointerInputTarget не найдена в библиотеке DLL USER32.dll"
После закрытия уведомления об ошибке оно появлялось вновь через некоторое время. Я перезапустил ЭВМ.
Уже на этапе загрузки экрана компьютер начал работать во много раз медленнее. Настолько медленнее, что при перетаскивании окон от них оставался след. При старте появляется командная строка, темы перестали работать, а панель задач изменила раскраску на былинно классическую.
Так же появляется умедомление проводника "Windows не удаётся подключиться к службе "служба уведомлений о системных событиях" это препятствует входу в систему обычных пользователей"
затем антивирус начал сигнализировать что taskeng.exe находящийся по адресу C:\Windows\System32 пытается активировать файл-скрипт, что конечно же мною было запрещено.
Затем taskeng.exe попытался взаимодействовать с cmd.exe, но с помощью антивируса я этого не допустил.
Файл taskeng.exe я неоднократно сканировал антивирусом, но результат был отрицательным.
Так же пытался запустится Wasp.exe приютившийся по адресу ProgramData\Windows\Profile, я удалил все подозрительные исполняющие файлы из этой папки, и уведомления антивируса на тему Wasp прекратились.
Сканирование пк с помощью Dr.Web бесплатной вариации так же не дало результата.
Уведомления появлялись вновь и вновь, пока я не удалил файл-скрипт. Затем файл taskeng.exe начал попытки взаимодействовать с исполняющим файлом двухгодовой давности расположенном в папке двухгодовой давности принадлежащей обозревателю Comodo, того же производителя что и антивирус. Какой цинизм...
Второй файл-скрипт я тоже удалил, вместе со всей папкой, посредстом RenoUninstallerPro.
Дорогие кодеры и программисты, не подскажете ли пожалуйста чайнику как окончательно вычистить компьютер от вируса и вернуть всё как было до заражения?

@Sandor · 02.12.2020, 09:52

Здравствуйте!

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@Randomagentfrom · 03.12.2020, 18:33 **[ТС]**

Вот.
А вот "нормальное" описание проблемы:
Самоклонирующийся вирус Wasp воссоздающий себя в разных директориях ЭВМ под разными названиями и атакующий систему.
Все остальные проблемы недействительны, так как были вызваны моим неумением и ненадёжным ПО, и уже исправлены.

@Sandor · 04.12.2020, 10:07

Здравствуйте!

Два антивируса - много.

Kaspersky Security Cloud
Internet Security Essentials

Один оставьте, один удалите.
После этого пройдитесь соотв. утилитой - Чистка системы после некорректного удаления антивируса

Внимание! Рекомендации написаны специально для пользователя Randomagentfrom. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Windows\Profile\1.vbs', '');
 DeleteSchedulerTask('ASC9_SkipUac_VersusNaziss');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');
 DeleteSchedulerTask('Microsoft\Windows\MemoryDiagnostic\MemoryDiagnostic');
 DeleteFile('C:\ProgramData\Windows\Profile\1.vbs');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Code
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!

"Пофиксите" в HijackThis (некоторых строк может не быть):

Code
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = http=;ftp=;https=; (disabled)
R1 - HKU\S-1-5-21-113899908-4266833227-1578331023-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [AutoConfigURL] = [url]http://antizapret.prostovpn.org/proxy.pac[/url]
O7 - TroubleShooting: (EV) HKU\S-1-5-21-113899908-4266833227-1578331023-1005\..\Environment: [TEMP] = (not exist)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-113899908-4266833227-1578331023-1005\..\Environment: [TMP] = (not exist)
O22 - Task: ASC9_SkipUac_VersusNaziss - C:\Программы\Advanced sustem care\ASC.exe /SkipUac (file missing)
O22 - Task: \Microsoft\Windows\Maintenance\WinDAT - C:\Windows\system32\cmd.exe /c dlhosts.exe || dlchosts.exe
O22 - Task: \Microsoft\Windows\Maintenance\WinNAT - C:\ProgramData\Windows\Profile\1.vbs
O22 - Task: \Microsoft\Windows\MemoryDiagnostic\MemoryDiagnostic - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -c "$ddd =
O26 - Tools: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\DefragPath (default) = C:\ПРограммы\Больше оптимизации\DiskDefrag.exe (file missing)

Подготовьте новый CollectionLog.

@Randomagentfrom · 11.12.2020, 12:02 **[ТС]**

Всё сделал, папку по форме отправил.
Выяснилось что установленная у меня программа Internet Security Essentials выдаёт себя за антивирус Comodo. Через диспетчер задач нашёл местоположение и удалил папку, но не думаю что это помогло.

@Sandor · 11.12.2020, 12:10

Сообщение от Randomagentfrom

Internet Security Essentials выдаёт себя за антивирус Comodo

Это и есть антивирус Comodo, так он сейчас называется.
Следы ещё видны, попробуйте этой утилитой очистить.

@Randomagentfrom · 11.12.2020, 20:56 **[ТС]**

До последнего сбора логов я уже трижды удалил антивирус Comodo, сначала через Reno Uninstaller Pro, затем пакетом установщика антивируса Касперского, затем советуемой вами утилитой. Я запустил её ещё раз, но оно сообщает что
"Installation of Comodo product not detected. If you still think Comodo product is installed, please report on Comodo forums"
К тому же английская вики сообщает что Internet Security Essentials является псевдо антивирусом.
https://en.wikipedia.org/wiki/... Essentials.
"The malware is deliberately named so as a subterfuge, because there are several legitimate security utilities with similar names, specifically:

Internet Security Essentials by Comodo Group"

Вот пример подозрительной активности: когда я, уже удалив Comodo тремя способами, перезагрузив компьютер, отключил антивирус чтобы "собрать логи", у меня появилось оповещение якобы от антивируса Comodo о том что цифровой файл-часть антивируса касперского обладает недействительной цифровой подписью, а в диспетчере задач, в режиме отображения процессов всех пользователей появился процесс Internet Security Essentials, не появлявшийся со времени удаления Comodo, который удаётся просто закрыть диспетчером задач... Я думаю что антивирусы не позволят убить свой процесс.

@Sandor · 11.12.2020, 22:23

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Randomagentfrom · 12.12.2020, 13:54 **[ТС]**

Вот.

@Sandor · 12.12.2020, 14:18

Internet Security Essentials (HKLM-x32\...\ComodoIse) (Version: 1.6.472587.185 - Comodo)

видна в перечне установленных программ.
Если стандартно не удаляется, пробуйте удалить принудительно через Geek Uninstaller.
После успешного удаления соберите новые логи FRST.

@Randomagentfrom · 12.12.2020, 18:53 **[ТС]**

Вот.

@Sandor · 12.12.2020, 21:39

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-113899908-4266833227-1578331023-1000\...\MountPoints2: E - E:\autorun.exe
HKU\S-1-5-21-113899908-4266833227-1578331023-1000\...\MountPoints2: F - F:\setup.exe
HKU\S-1-5-21-113899908-4266833227-1578331023-1000\...\MountPoints2: {0bda3239-ef59-11e4-bc2e-d0509946a7fc} - F:\setup.exe
HKU\S-1-5-21-113899908-4266833227-1578331023-1000\...\MountPoints2: {0f5badbf-12f2-11e6-a86e-d0509946a7fc} - G:\Setup.exe
HKU\S-1-5-21-113899908-4266833227-1578331023-1000\...\MountPoints2: {43f17b91-f407-11e4-a83a-d0509946a7fc} - F:\setup.exe
HKU\S-1-5-21-113899908-4266833227-1578331023-1000\...\MountPoints2: {4aead0d1-0dc6-11e8-802c-806e6f6e6963} - D:\autorun.exe
HKU\S-1-5-21-113899908-4266833227-1578331023-1003\...\MountPoints2: E - E:\AUTORUN.EXE
HKU\S-1-5-21-113899908-4266833227-1578331023-1003\...\MountPoints2: F - F:\Setup.exe
HKU\S-1-5-21-113899908-4266833227-1578331023-1003\...\MountPoints2: {0bda3239-ef59-11e4-bc2e-d0509946a7fc} - E:\setup.exe
HKU\S-1-5-21-113899908-4266833227-1578331023-1003\...\MountPoints2: {0f5badbf-12f2-11e6-a86e-d0509946a7fc} - G:\Menu.exe
HKU\S-1-5-21-113899908-4266833227-1578331023-1003\...\MountPoints2: {43f17b91-f407-11e4-a83a-d0509946a7fc} - F:\Menu.exe
HKU\S-1-5-21-113899908-4266833227-1578331023-1003\...\MountPoints2: {f5551e70-c923-11e7-b310-d0509946a7fc} - H:\Autorun.exe
HKU\S-1-5-21-113899908-4266833227-1578331023-500\...\MountPoints2: E - E:\autorun.exe
HKU\S-1-5-21-113899908-4266833227-1578331023-500\...\MountPoints2: F - F:\Setup.exe
HKU\S-1-5-21-113899908-4266833227-1578331023-500\...\MountPoints2: {0bda3239-ef59-11e4-bc2e-d0509946a7fc} - E:\Startup.exe
HKU\S-1-5-21-113899908-4266833227-1578331023-500\...\MountPoints2: {0f5badbf-12f2-11e6-a86e-d0509946a7fc} - G:\Setup.exe
HKU\S-1-5-21-113899908-4266833227-1578331023-500\...\MountPoints2: {43f17b91-f407-11e4-a83a-d0509946a7fc} - F:\setup.EXE
HKU\S-1-5-21-113899908-4266833227-1578331023-500\...\MountPoints2: {4aead0d1-0dc6-11e8-802c-806e6f6e6963} - D:\autorun.exe
HKU\S-1-5-21-113899908-4266833227-1578331023-501\...\MountPoints2: E - E:\autorun.exe
HKU\S-1-5-21-113899908-4266833227-1578331023-501\...\MountPoints2: F - F:\Setup.exe
HKU\S-1-5-21-113899908-4266833227-1578331023-501\...\MountPoints2: {0bda3239-ef59-11e4-bc2e-d0509946a7fc} - E:\Startup.exe
HKU\S-1-5-21-113899908-4266833227-1578331023-501\...\MountPoints2: {0f5badbf-12f2-11e6-a86e-d0509946a7fc} - G:\Setup.exe
HKU\S-1-5-21-113899908-4266833227-1578331023-501\...\MountPoints2: {43f17b91-f407-11e4-a83a-d0509946a7fc} - F:\setup.EXE
HKU\S-1-5-21-113899908-4266833227-1578331023-501\...\MountPoints2: {4aead0d1-0dc6-11e8-802c-806e6f6e6963} - D:\autorun.exe
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyUsers\S-1-5-21-113899908-4266833227-1578331023-1002\User: Restriction <==== ATTENTION
Policies: C:\Users\VersusNaziss\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Администратор\NTUSER.pol: Restriction <==== ATTENTION
AutoConfigURL: [S-1-5-21-113899908-4266833227-1578331023-1000] => hxxp://antizapret.prostovpn.org/proxy.pac
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
FF user.js: detected! => C:\Users\VersusNaziss\AppData\Roaming\Mozilla\Firefox\Profiles\gctz19tn.default\user.js [2016-10-23]
S2 isesrv; "C:\Program Files (x86)\COMODO\Internet Security Essentials\isesrv.exe" -service [X]
R1 isedrv; C:\Windows\system32\drivers\isedrv.sys [51368 2019-01-29] (Comodo Security Solutions, Inc. -> COMODO)
C:\Windows\system32\drivers\isedrv.sys
2020-12-02 23:17 - 2015-06-22 17:32 - 000000000 ____D C:\ProgramData\Comodo
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
AlternateDataStreams: C:\Users\VersusNaziss:Heroes & Generals [38]
URLSearchHook: [S-1-5-21-113899908-4266833227-1578331023-1000] ATTENTION => Default URLSearchHook is missing
URLSearchHook: [S-1-5-21-113899908-4266833227-1578331023-1005] ATTENTION => Default URLSearchHook is missing
URLSearchHook: [S-1-5-21-113899908-4266833227-1578331023-500] ATTENTION => Default URLSearchHook is missing
URLSearchHook: [S-1-5-21-113899908-4266833227-1578331023-501] ATTENTION => Default URLSearchHook is missing
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Randomagentfrom · 12.12.2020, 23:03 **[ТС]**

После отключения антивируса неизвестное подключение из интернета запросило доступ к жёсткому диску. Отрицательный ответ был очевиден.
Инструкции выполнены.
Можно ли быть уверенным что вирус успешно удалён?

@Sandor · 13.12.2020, 12:22

Сообщение от Sandor

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению

???

@Randomagentfrom · 13.12.2020, 16:50 **[ТС]**

Извиняюсь, дилетант в деле. Вот.

@Sandor · 13.12.2020, 17:01

Сообщите как внешне сейчас ведёт себя система.
Для верности соберите свежий CollectionLog Автологером.

@Randomagentfrom · 13.12.2020, 18:35 **[ТС]**

Антивирус не возмущается, подозрительных процессов в диспетчере задач не наблюдаю, ничего иного подозрительного не наблюдаю.
В этот раз при отключении антивируса не было такого чтобы неизвестные сетевые подключения запрашивали доступ к жёсткому диску, как было в прошлый раз.

@Sandor · 13.12.2020, 21:10

В логах тоже чисто, за исключением некоторых устаревших программ.
Проделайте в завершение:
1.Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Randomagentfrom · 13.12.2020, 22:11 **[ТС]**

Всё сделано. Вот.

@Sandor · 14.12.2020, 09:31

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.18954 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.6 (русский) v.4.6.00081 Внимание! Скачать обновления
Microsoft .NET Framework 1.1 v.1.1.4322 Данная программа больше не поддерживается разработчиком.
OpenOffice 4.1.5 v.4.15.9789 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.2.2.1 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 80 (64-bit) v.7.0.800 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u271-windows-x64.exe).
Java 8 Update 231 v.8.0.2310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u271-windows-i586.exe)^
Java 7 Update 45 v.7.0.450 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u271-windows-i586.exe).
Java 8 Update 45 v.8.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u271-windows-i586.exe)^
-------------------------------- [ Media ] --------------------------------
AIMP3 v.v3.55.1324, 15.11.2013 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 11 ActiveX & Plugin 64-bit v.11.9.900.152 Внимание! Скачать обновления
^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^
Adobe Flash Player 32 NPAPI v.32.0.0.270 Внимание! Скачать обновления
Adobe Flash Player 27 PPAPI v.27.0.0.187 Внимание! Скачать обновления
Adobe Shockwave Player + Authorware Web Player v.v12.0.6.147 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Reader 6.0.1 v.006.000.001 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 45.0.2 (x86 ru) v.45.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Mozilla Firefox 47.0 (x86 ru) v.47.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.8f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Читайте Рекомендации после удаления вредоносного ПО

Новые блоги и статьи Все статьи Все блоги /
Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .	Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .
Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и напряжениями. Надо найти токи в ветвях. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и решает её. Последовательность действий:. . .	Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .	Модель микоризы: классовый агентный подход anaschu 02.01.2026 Раньше это было два гриба и бактерия. Теперь три гриба, растение. И на уровне агентов добавится между грибами или бактериями взаимодействий. До того я пробовал подход через многомерные массивы,. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .

@Randomagentfrom 0 / 0 / 0 Регистрация: 02.12.2020 Сообщений: 10

	Самоклонирующийся вирус Wasp действующий через taskeng.exe 02.12.2020, 08:15. Показов 13927. Ответов 19 Метки нет (Все метки) ОС Windows 7 "Максимальная" Примерно четыре месяца назад мой антивирус Comodo бесплатной вариации обнаружил что незнакомый мне файл Wasp.exe пытается сделать нечто подозрительное. Я это сделать не позволил, и заблокировал файл. Но почти сразу начали появляться один за одним оповещения от антивируса что исполняющие файлы wasp, waspace, waspwing ... в разных вариациях имён пытаются сделать нечто подозрительное. На все уведомления ответ был один - "не пущать, в карантин отправлять" но уведомления не прекращались. Быстрое сканирование не нашло угроз. Я нашёл папку с этими файлами и удалил её. Уведомления прекратились. Но сегодня у меня появилась ошибка "Service.exe точка входа в процедуру RegisterPointerInputTarget не найдена в библиотеке DLL USER32.dll" После закрытия уведомления об ошибке оно появлялось вновь через некоторое время. Я перезапустил ЭВМ. Уже на этапе загрузки экрана компьютер начал работать во много раз медленнее. Настолько медленнее, что при перетаскивании окон от них оставался след. При старте появляется командная строка, темы перестали работать, а панель задач изменила раскраску на былинно классическую. Так же появляется умедомление проводника "Windows не удаётся подключиться к службе "служба уведомлений о системных событиях" это препятствует входу в систему обычных пользователей" затем антивирус начал сигнализировать что taskeng.exe находящийся по адресу C:\Windows\System32 пытается активировать файл-скрипт, что конечно же мною было запрещено. Затем taskeng.exe попытался взаимодействовать с cmd.exe, но с помощью антивируса я этого не допустил. Файл taskeng.exe я неоднократно сканировал антивирусом, но результат был отрицательным. Так же пытался запустится Wasp.exe приютившийся по адресу ProgramData\Windows\Profile, я удалил все подозрительные исполняющие файлы из этой папки, и уведомления антивируса на тему Wasp прекратились. Сканирование пк с помощью Dr.Web бесплатной вариации так же не дало результата. Уведомления появлялись вновь и вновь, пока я не удалил файл-скрипт. Затем файл taskeng.exe начал попытки взаимодействовать с исполняющим файлом двухгодовой давности расположенном в папке двухгодовой давности принадлежащей обозревателю Comodo, того же производителя что и антивирус. Какой цинизм... Второй файл-скрипт я тоже удалил, вместе со всей папкой, посредстом RenoUninstallerPro. Дорогие кодеры и программисты, не подскажете ли пожалуйста чайнику как окончательно вычистить компьютер от вируса и вернуть всё как было до заражения? 0

@Sandor 22436 / 15893 / 3077 Регистрация: 08.10.2012 Сообщений: 64,751
	02.12.2020, 09:52
	Здравствуйте! Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@Randomagentfrom 0 / 0 / 0 Регистрация: 02.12.2020 Сообщений: 10
	11.12.2020, 20:56 [ТС]
	До последнего сбора логов я уже трижды удалил антивирус Comodo, сначала через Reno Uninstaller Pro, затем пакетом установщика антивируса Касперского, затем советуемой вами утилитой. Я запустил её ещё раз, но оно сообщает что "Installation of Comodo product not detected. If you still think Comodo product is installed, please report on Comodo forums" К тому же английская вики сообщает что Internet Security Essentials является псевдо антивирусом. https://en.wikipedia.org/wiki/... Essentials. "The malware is deliberately named so as a subterfuge, because there are several legitimate security utilities with similar names, specifically: Internet Security Essentials by Comodo Group" Вот пример подозрительной активности: когда я, уже удалив Comodo тремя способами, перезагрузив компьютер, отключил антивирус чтобы "собрать логи", у меня появилось оповещение якобы от антивируса Comodo о том что цифровой файл-часть антивируса касперского обладает недействительной цифровой подписью, а в диспетчере задач, в режиме отображения процессов всех пользователей появился процесс Internet Security Essentials, не появлявшийся со времени удаления Comodo, который удаётся просто закрыть диспетчером задач... Я думаю что антивирусы не позволят убить свой процесс. 0

@Sandor 22436 / 15893 / 3077 Регистрация: 08.10.2012 Сообщений: 64,751
	11.12.2020, 22:23
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Randomagentfrom 0 / 0 / 0 Регистрация: 02.12.2020 Сообщений: 10
	12.12.2020, 23:03 [ТС]
	После отключения антивируса неизвестное подключение из интернета запросило доступ к жёсткому диску. Отрицательный ответ был очевиден. Инструкции выполнены. Можно ли быть уверенным что вирус успешно удалён? 0

@Sandor 22436 / 15893 / 3077 Регистрация: 08.10.2012 Сообщений: 64,751
	13.12.2020, 17:01
	Сообщите как внешне сейчас ведёт себя система. Для верности соберите свежий CollectionLog Автологером. 1

@Sandor 22436 / 15893 / 3077 Регистрация: 08.10.2012 Сообщений: 64,751
	13.12.2020, 21:10
	Сообщение было отмечено Randomagentfrom как решение Решение В логах тоже чисто, за исключением некоторых устаревших программ. Проделайте в завершение: 1.Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 1

@Sandor 22436 / 15893 / 3077 Регистрация: 08.10.2012 Сообщений: 64,751
	14.12.2020, 09:31
	------------------------------- [ Windows ] ------------------------------- Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз Internet Explorer 11.0.9600.18954 Внимание! Скачать обновления ^Используйте Средство устранения неполадок при проблемах установки^ Учетная запись гостя включена. Пароль не установлен. ------------------------------- [ HotFix ] -------------------------------- HotFix KB3125574 Внимание! Скачать обновления HotFix KB4012212 Внимание! Скачать обновления HotFix KB4499175 Внимание! Скачать обновления HotFix KB4474419 Внимание! Скачать обновления HotFix KB4490628 Внимание! Скачать обновления HotFix KB4539602 Внимание! Скачать обновления --------------------------- [ OtherUtilities ] ---------------------------- Microsoft .NET Framework 4.6 (русский) v.4.6.00081 Внимание! Скачать обновления Microsoft .NET Framework 1.1 v.1.1.4322 Данная программа больше не поддерживается разработчиком. OpenOffice 4.1.5 v.4.15.9789 Внимание! Скачать обновления ------------------------------ [ ArchAndFM ] ------------------------------ WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.2.2.1 Внимание! Клиент сети P2P с рекламным модулем!. -------------------------------- [ Java ] --------------------------------- Java 7 Update 80 (64-bit) v.7.0.800 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u271-windows-x64.exe). Java 8 Update 231 v.8.0.2310.11 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u271-windows-i586.exe)^ Java 7 Update 45 v.7.0.450 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u271-windows-i586.exe). Java 8 Update 45 v.8.0.450 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u271-windows-i586.exe)^ -------------------------------- [ Media ] -------------------------------- AIMP3 v.v3.55.1324, 15.11.2013 Внимание! Скачать обновления --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 11 ActiveX & Plugin 64-bit v.11.9.900.152 Внимание! Скачать обновления ^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^ Adobe Flash Player 32 NPAPI v.32.0.0.270 Внимание! Скачать обновления Adobe Flash Player 27 PPAPI v.27.0.0.187 Внимание! Скачать обновления Adobe Shockwave Player + Authorware Web Player v.v12.0.6.147 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее. Adobe Reader 6.0.1 v.006.000.001 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC. ------------------------------- [ Browser ] ------------------------------- Mozilla Firefox 45.0.2 (x86 ru) v.45.0.2 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ Mozilla Firefox 47.0 (x86 ru) v.47.0 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ ---------------------------- [ UnwantedApps ] ----------------------------- Unity Web Player v.5.3.8f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Читайте Рекомендации после удаления вредоносного ПО 1

Самоклонирующийся вирус Wasp действующий через taskeng.exe

Решение