Шифровщик WanaCry

[Shemmon]

Как и у многих сейчас.

Лог прикрепил

CollectionLog-2017.05.12-23.06.zip

[regist]

Здравствуйте!

 

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

2)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\tasksche.exe', '');
 QuarantineFileF('C:\ProgramData\zlckqfdjs943', '*', true, '', 0, 0);
 DeleteFile('C:\Windows\tasksche.exe');
 DeleteFileMask('C:\ProgramData\zlckqfdjs943', '*', true);
 DeleteDirectory('C:\ProgramData\zlckqfdjs943');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

3)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 

4) Обновление поставьте http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

5) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

6) Программы/расширения от Mail.ru используете?
 

Советник Яндекс.Маркета - сами ставили?

[Shemmon]

1) https://virusinfo.info/virusdetector/report.php?md5=B.. 
2) Сделал 
3) Не увидел такого файла, запаковал папку quarantine в zip архив, верно? 
4) Обновления не ставятся, пишет ошибку, центр обновления Windows не запускается

5) Повторные логи сейчас закреплю(как доделается), не понял, что я сделал не по правилам

6) Mail не использую, советник яндекса тоже. Возможно не заметил при установке какого-то ПО и не убрал галочки...

[regist]

3) Верно.

5) Через расширенный режим тоже не получается?

 

+

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

[Shemmon]

Прикрепил.

И новый отчёт Autologger

По 3 пункту - в итоге письмо не отправилось, заблокировано т.к. содержит вирус))

AdwCleanerS0.txt

CollectionLog-2017.05.13-00.01.zip

Изменено 12 мая, 2017 пользователем Shemmon

[regist]

 

 

По 3 пункту - в итоге письмо не отправилось, тзаблокировано т.к. содержит вирус))

Заархивируйте в zip архив с паролем virus.

[Shemmon]

По обновлением - при открывании exeшников - Установщик обнаружил ошибку: 0xc80003f3

В центре обновления пишет:""Центр обновлений Windows в настоящее время не может выполнить поиск обновлений, поскольку эта служба не запущена. Возможно, потребуется перезагрузить компьютер. ""

[regist]

1)

McAfee Security Scan Plus [2017/04/27 11:38:44]-->"C:\Program Files\McAfee Security Scan\uninstall.exe"

Советую деинсталировать.

 

2)

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

3) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

4) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[Shemmon]

1) Деинсталировал

 

2) Сделал, отчёт прикрепил

 

3) Прикрепил
 

4) Прикрепил



 

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
tasksche.exe - Trojan-Ransom.Win32.Wanna.b
@WanaDecryptor@.exe - Trojan-Ransom.Win32.Wanna.c
taskdl.exe - Trojan-Ransom.Win32.Agent.aapw
taskse.exe - Trojan-Ransom.Win32.Zapchast.i
u.wnry - Trojan-Ransom.Win32.Wanna.c

В антивирусных базах информация по присланным вами файлам отсутствует:
00000000.eky
00000000.pky
00000000.res
@Please_Read_Me@.txt
@WanaDecryptor@.exe.lnk
c.wnry
f.wnry
r.wnry
s.wnry/avz00012.dta.Tor.libeay32.dll
s.wnry/avz00012.dta.Tor.libevent-2-0-5.dll
s.wnry/avz00012.dta.Tor.libevent_core-2-0-5.dll
s.wnry/avz00012.dta.Tor.libevent_extra-2-0-5.dll
s.wnry/avz00012.dta.Tor.libgcc_s_sjlj-1.dll
s.wnry/avz00012.dta.Tor.libssp-0.dll
s.wnry/avz00012.dta.Tor.ssleay32.dll
s.wnry/avz00012.dta.Tor.tor.exe
s.wnry/avz00012.dta.Tor.zlib1.dll
t.wnry
m_bulgarian.wnry
m_chinese (simplified).wnry
m_chinese (traditional).wnry
m_croatian.wnry
m_czech.wnry
m_danish.wnry
m_dutch.wnry
m_english.wnry
m_filipino.wnry
m_finnish.wnry
m_french.wnry
m_german.wnry
m_greek.wnry
m_indonesian.wnry
m_italian.wnry
m_japanese.wnry
m_korean.wnry
m_latvian.wnry
m_norwegian.wnry
m_polish.wnry
m_portuguese.wnry
m_romanian.wnry
m_russian.wnry
m_slovak.wnry
m_spanish.wnry
m_swedish.wnry
m_turkish.wnry
m_vietnamese.wnry

Перечисленные файлы имеют безопасный формат и не могут быть вредоносными:
b.wnry

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

AdwCleanerC0.txt

ClearLNK-13.05.2017_00-24.log

Addition.txt

FRST.txt

Shortcut.txt

[regist]

1) Браузер по умолчанию смените, а то у вас ассоциации сбиты.

 

2)

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

 

 

3) 7-Zip 9.20 - давно устарел, советую потом обновить.

 

4)

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  CustomCLSID: HKU\S-1-5-21-3961643371-1451090259-1358268425-1001_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\Shem\AppData\Local\Google\Update\1.3.33.3\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-3961643371-1451090259-1358268425-1001_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\Shem\AppData\Local\Google\Update\1.3.32.7\psuser_64.dll => No File
  HKU\S-1-5-21-3961643371-1451090259-1358268425-1001\...\MountPoints2: {0c7b1712-e9ee-11e3-a8b5-1c6f653079b6} - I:\autorun.exe
  2017-05-12 12:47 - 2017-05-12 02:22 - 00245760 _____ (Microsoft Corporation) C:\Users\ЧОП\Documents\@WanaDecryptor@.exe
  2017-05-12 12:47 - 2017-05-12 02:22 - 00245760 _____ (Microsoft Corporation) C:\Users\Shem\Documents\@WanaDecryptor@.exe
  2017-05-12 12:46 - 2017-05-12 21:13 - 03514368 ____S (Microsoft Corporation) C:\Windows\qeriuwjhrf
  2017-05-12 12:46 - 2017-05-12 12:46 - 00000933 _____ C:\Users\Shem\Desktop\@Please_Read_Me@.txt
  2014-11-09 23:22 - 2014-11-10 00:13 - 0001456 _____ () C:\Users\Shem\AppData\Local\Adobe Сохранить для Web 13.0 Prefs
  2016-06-01 00:20 - 2016-06-01 00:20 - 0033332 _____ () C:\Users\Shem\AppData\Local\recently-used.xbel
  2016-01-05 16:49 - 2016-01-05 16:49 - 0000000 _____ () C:\Users\Shem\AppData\Local\{35A23E03-60F8-4A62-B81B-0835B5479006}
  2016-11-08 00:15 - 2016-11-08 00:15 - 0004975 _____ () C:\ProgramData\kjiixkes.ghp
  2016-05-22 16:36 - 2016-05-22 16:36 - 0000016 _____ () C:\ProgramData\mntemp
  2016-06-12 03:11 - 2016-06-12 03:11 - 0004131 _____ () C:\ProgramData\rxsmznjf.zcp
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.[/code]
 

Изменено 12 мая, 2017 пользователем regist

[Shemmon]

Спасибо за советы

Прикрепил

Fixlog.txt

[regist]

Свежие логи FRST ещё раз сделайте.

[Shemmon]

Готово

Addition.txt

FRST.txt

Shortcut.txt

[regist]

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[Shemmon]

готово

scan.txt