@WanaDecryptor@.exe

[Пётр Басков]

Как и у всех. Логи добавил.

CollectionLog-2017.05.13-00.09.zip

[regist]

Здравствуйте!

 

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\tasksche.exe', '');
 QuarantineFileF('C:\ProgramData\iusolkjgtspi052', '*', true, '', 0, 0);
 DeleteFile('C:\Windows\tasksche.exe');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteFileMask('C:\ProgramData\iusolkjgtspi052', '*', true);
 DeleteDirectory('C:\ProgramData\iusolkjgtspi052');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 

"Пофиксите" в HijackThis:

O2 - BHO: IEInspector Browser Helper - {9B43B7B1-BF56-4708-81D2-332D708B0DD9} - D:\HTTPAnalyzerFullV7\IEInspectorBHO.dll (file missing)
O4 - HKLM\..\Run: [RaidCall] D:\RaidCall.RU\raidcall.exe  (file missing)
O9 - Extra 'Tools' menuitem: IE HTTPAnalyzer V7 - HKLM\..\{0EE59015-EBDF-4986-8F80-DB00975ABDCD} - D:\HTTPAnalyzerFullV7\IEHTTPAnalyzerV7.dll (file missing)
O9 - Extra button: IE HTTPAnalyzer V7 - HKLM\..\{0EE59015-EBDF-4986-8F80-DB00975ABDCD} - D:\HTTPAnalyzerFullV7\IEHTTPAnalyzerV7.dll (file missing)

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Пётр Басков]

https://virusinfo.info/virusdetector/report.php?md5=E8C260D4F7A7E5B42B6E8A3E12874427

Check_Browsers_LNK.log

[regist]

 

 

Check_Browsers_LNK.log 32,24К скачиваний 0

Внимательно перечитайте, что просили сделать.

[Пётр Басков]

 

Check_Browsers_LNK.log 32,24К скачиваний 0

Внимательно перечитайте, что просили сделать.

 

Thank you for contacting Kaspersky Lab

 

The files have been scanned in automatic mode.

 

No information about the specified files can be found in the antivirus databases:

00000000.eky

00000000.pky

00000000.res

@Please_Read_Me@.txt

@WanaDecryptor@.exe.lnk

c.wnry

f.wnry

r.wnry

s.wnry/avz00011.dta.Tor.libeay32.dll

s.wnry/avz00011.dta.Tor.libevent-2-0-5.dll

s.wnry/avz00011.dta.Tor.libevent_core-2-0-5.dll

s.wnry/avz00011.dta.Tor.libevent_extra-2-0-5.dll

s.wnry/avz00011.dta.Tor.libgcc_s_sjlj-1.dll

s.wnry/avz00011.dta.Tor.libssp-0.dll

s.wnry/avz00011.dta.Tor.ssleay32.dll

s.wnry/avz00011.dta.Tor.tor.exe

s.wnry/avz00011.dta.Tor.zlib1.dll

t.wnry

m_bulgarian.wnry

m_chinese (simplified).wnry

m_chinese (traditional).wnry

m_croatian.wnry

m_czech.wnry

m_danish.wnry

m_dutch.wnry

m_english.wnry

m_filipino.wnry

m_finnish.wnry

m_french.wnry

m_german.wnry

m_greek.wnry

m_indonesian.wnry

m_italian.wnry

m_japanese.wnry

m_korean.wnry

m_latvian.wnry

m_norwegian.wnry

m_polish.wnry

m_portuguese.wnry

m_romanian.wnry

m_russian.wnry

m_slovak.wnry

m_spanish.wnry

m_swedish.wnry

m_turkish.wnry

m_vietnamese.wnry

libeay32.dll

libevent_core-2-0-5.dll

libevent_extra-2-0-5.dll

ssleay32.dll

taskhsvc.exe

tor.exe

 

The format of the attached files is safe, they cannot be malicious:

b.wnry

 

Malicious code has been detected in the following files:

taskse.exe - Trojan-Ransom.Win32.Zapchast.i

u.wnry - Trojan-Ransom.Win32.Wanna.c

 

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

 

This is an automatically generated message. Please do not reply to it.

 

Anti-Virus Lab, Kaspersky Lab HQ

 

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia

Tel./Fax: + 7 (495) 797 8700 

http://www.kaspersky.com http://www.viruslist.com"

 

--------------------------------------------------------------------------------

From: 

Sent: 5/12/2017 11:48:00 PM

To: newvirus@kaspersky.com

Subject: quarantine.zip

 

Сообщение от модератора Mark D. Pearlstone

Адрес почты пользователя удалён.

[regist]

1) Есть поле быстрого ответа внизу, не надо заниматься оверквотингом.

 

2) Где всё остальное?

[Пётр Басков]

В прошлом сообщении, там ссылка на вирусинфо и Check_Browsers_LNK.log

[regist]

 

 

В прошлом сообщении, там ссылка на вирусинфо и Check_Browsers_LNK.log

Значит опять перечитайте, что вас просили сделать, но на этот раз ВНИМАТЕЛЬНО,

[Пётр Басков]

Вы скажите, что я сделал не так, я не понимаю 

 

В прошлом сообщении, там ссылка на вирусинфо и Check_Browsers_LNK.log

Значит опять перечитайте, что вас просили сделать, но на этот раз ВНИМАТЕЛЬНО,

 

KLAN-6229896010

Если я windows переустановлю, вирус удалится или нет?

[regist]

 

 

Если я windows переустановлю, вирус удалится или нет?

нет, файлы так и останутся зашифрованные. А если не будете ставить обновления, что очень быстро подхватите этот же шифровальщик по второму кругу.

 

 

Вы скажите, что я сделал не так, я не понимаю

Читаем внимательно

 

 

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите. "Пофиксите" в HijackThis: O2 - BHO: IEInspector Browser Helper - {9B43B7B1-BF56-4708-81D2-332D708B0DD9} - D:\HTTPAnalyzerFullV7\IEInspectorBHO.dll (file missing) O4 - HKLM\..\Run: [RaidCall] D:\RaidCall.RU\raidcall.exe (file missing) O9 - Extra 'Tools' menuitem: IE HTTPAnalyzer V7 - HKLM\..\{0EE59015-EBDF-4986-8F80-DB00975ABDCD} - D:\HTTPAnalyzerFullV7\IEHTTPAnalyzerV7.dll (file missing) O9 - Extra button: IE HTTPAnalyzer V7 - HKLM\..\{0EE59015-EBDF-4986-8F80-DB00975ABDCD} - D:\HTTPAnalyzerFullV7\IEHTTPAnalyzerV7.dll (file missing) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

При цитате оформление попортилось, так что читайте в оригинальном посте.

[Пётр Басков]

Я вчера уже фиксил те строки, щас их нет..

ClearLNK-13.05.2017_11-42.log

[regist]

 

 

Я вчера уже фиксил те строки, щас их нет..

Телепатией не обладаю, а запрошенный

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

вы так и не прикрепили, так что мне не известно, что там фиксили и что там есть.

 

Всё жду лог .....

[Пётр Басков]

Вот

HiJackThis.log

[regist]

Извините, что не понятного в этой фразе?

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Жду свежий  CollectionLog.

[Пётр Басков]

вот

CollectionLog-2017.05.13-13.45.zip