AlexBar 0 Опубликовано 14 мая, 2017 Share Опубликовано 14 мая, 2017 Вечер добрый! Так же как и многие подвергся атаке, где то около 15:00 дня.Успел локализовать,но так же получил зашифрованные файлы WNCRY,малую часть удалось восстановить с помощью программы Photorec.Не уверен,что до конца избавился,так как появилась другая проблема,уже сегодня вечером,сначала пошли атаки на порт 445 и через несколько секунд,синий экран,закрыл порт через реестр,не помогло,начали выскакивать чаще разные ошибки на синем экране,сейчас зашел через безопасный режим. CollectionLog-2017.05.14-23.17.zip Часто Касперский находит снова и снова файл: windows\mssecsvc.exe и удаляет как троянскую программу HEUR:Trojan.Multi.Lasso.a. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 15 мая, 2017 Share Опубликовано 15 мая, 2017 1) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите. 2) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O4 - MSConfig\startupreg: [DivXMediaServer] C:\Program Files (x86)\DivX\DivX Media Server\DivXMediaServer.exe (file missing) (HKLM) (2013/02/25) O4-32 - (disabled) HKLM\..\Run-: [Adobe ARM] C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe (file missing) O4-32 - (disabled) HKLM\..\Run-: [CTxfiHlp] CTXFIHLP.EXE (file missing) O4-32 - (disabled) HKLM\..\Run-: [Wondershare Helper Compact.exe] C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (file missing) O4-32 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE (file missing) 3) Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
AlexBar 0 Опубликовано 15 мая, 2017 Автор Share Опубликовано 15 мая, 2017 Сделал,прикрепляю файлы: ClearLNK-15.05.2017_19-59.log AdwCleanerS3.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 15 мая, 2017 Share Опубликовано 15 мая, 2017 Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Отметьте галочкой также "Shortcut.txt".Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
AlexBar 0 Опубликовано 15 мая, 2017 Автор Share Опубликовано 15 мая, 2017 Прикрепляю: AdwCleanerS4.txt Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 15 мая, 2017 Share Опубликовано 15 мая, 2017 1) Пожалуйста, запустите adwcleaner.exe Нажмите File (Файл) Uninstall (Деинсталлировать). Подтвердите удаление нажав кнопку: Да. 2) Это что у вас в политиках с расширениями файлами? Сами такое прописывали? HKLM Group Policy restriction on software: *.wav.reg <====== ATTENTIONHKLM Group Policy restriction on software: *.mp3.crt <====== ATTENTIONHKLM Group Policy restriction on software: *.rar.psc* <====== ATTENTIONHKLM Group Policy restriction on software: *.gif.vbs <====== ATTENTIONHKLM Group Policy restriction on software: *.pdf.inx <====== ATTENTIONHKLM Group Policy restriction on software: *.jpg.js <====== ATTENTIONHKLM Group Policy restriction on software: *.ppt.shs <====== ATTENTIONHKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.xcs <====== ATTENTIONHKLM Group Policy restriction on software: *.txt.pls <====== ATTENTIONHKLM Group Policy restriction on software: C:\Users\Гость.EDRENA-MONSTR\*.adp <====== ATTENTIONHKLM Group Policy restriction on software: *.zip.nsf <====== ATTENTION ... ... Цитата Ссылка на сообщение Поделиться на другие сайты
AlexBar 0 Опубликовано 15 мая, 2017 Автор Share Опубликовано 15 мая, 2017 нет не прописывал,снова произошла сетевая атака на порт 445, и синий экран куча нулей d1 и ссылается на srvnet.sys Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 15 мая, 2017 Share Опубликовано 15 мая, 2017 (изменено) C:\Users\Администратор\Desktop\mbkjlg C:\Users\Администратор\Desktop\pyi9hi C:\Users\Администратор\Desktop\hkvjkvb C:\Users\Администратор\Desktop\jhrffh C:\Users\Администратор\Desktop\hkvjkvb Эти папки вам знакомы? Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: GroupPolicy: Restriction <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION FF Plugin: @microsoft.com/GENUINE -> disabled [No File] AlternateDataStreams: C:\Users\Администратор\Local Settings:wa [146] AlternateDataStreams: C:\Users\Администратор\AppData\Local:wa [146] AlternateDataStreams: C:\Users\Администратор\AppData\Local\Application Data:wa [146] Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. ,снова произошла сетевая атака на порт 445 Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212 И в будущем не забывайте своевременно обновляться. нет не прописывал Возможно, что-то из защитного софта их прописало. Оставить или удалить? Вреда от них пожалуй нет. Изменено 15 мая, 2017 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
AlexBar 0 Опубликовано 15 мая, 2017 Автор Share Опубликовано 15 мая, 2017 да папки знакомы,недавние программы: avz и прочее,установил Crypto prevent, может это он с расширениями файлов,что то сделал. Fixlog.txt скорее всего Crypto Prevent,поставил на всякий случай от других вирусных шифраторов, раз нет вреда пусть будет. Обновление пробовал поставить,результат синий экран,делал бэкап,изначально выключены службы обновления,так как из за них много ошибок часто возникало,вплоть до отката этих обновлений. Заметил,что реакция на синий экран возникает в основном из за просмотра видео,через интернет. Собственно WannaCry появился,когда смотрел спокойно себе видео на ютубе Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 15 мая, 2017 Share Опубликовано 15 мая, 2017 Заметил,что реакция на синий экран возникает в основном из за просмотра видео,через интернет. возможно тогда с вирусом не связано. Обновление попробуйте поставить из безопасного режима. И сделайте свежие логи FRST, перепроверим. И восстановление системы у вас выключено, советую включить. Цитата Ссылка на сообщение Поделиться на другие сайты
AlexBar 0 Опубликовано 17 мая, 2017 Автор Share Опубликовано 17 мая, 2017 Конкретно это обновление дает сбой,и из безопасного режима не ставиться,другие обновления выборочно,кароче угробил систему обновлениями MIcrosoft,даже всеми функциями через Erd commander не восстановил.Переустановил Windows,поставил свежие дрова,частично какие то обновления установились даже и на этом не плохо,но больше не в жизни не буду ставить обновления от MIcrosoft,время дорого.Восстановление было только на не которых дисках,щас включил по лучше.Не успел все поставить,как касперский нашел те же трояны,удалил,но проблема с атаками на порт 445 и синим экраном с ошибкой srvnet.sys осталась. Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 18 мая, 2017 Share Опубликовано 18 мая, 2017 но больше не в жизни не буду ставить обновления от MIcrosoft, тогда будете и дальше регулярно хватать вирусы и шифровальщики. Некоторые похоже даже на своих ошибках не учаться . Ведь именно по этой причине вы заразились и потеряли свои файлы.. Переустановил Windows, Логи тогда уже бесполезны. но проблема с атаками на порт 445 и синим экраном с ошибкой srvnet.sys осталась. и конечно будет, дыра в системе у вас то осталась. Так что лечить дрявую систему это сизифов труд. А латать дырки в системе вы не хотите. Цитата Ссылка на сообщение Поделиться на другие сайты
AlexBar 0 Опубликовано 18 мая, 2017 Автор Share Опубликовано 18 мая, 2017 Конкретно это обновление дает сбой,и из безопасного режима не ставиться,другие обновления выборочно,кароче угробил систему обновлениями MIcrosoft. Да как не хочу то? если обновления не ставятся нормально. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 18 мая, 2017 Share Опубликовано 18 мая, 2017 Винда как понимаю сборка? Цитата Ссылка на сообщение Поделиться на другие сайты
AlexBar 0 Опубликовано 18 мая, 2017 Автор Share Опубликовано 18 мая, 2017 Xtreme сборка старая,пора менять, в этом тоже может быть проблема? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.