@WanaDecryptor@.exe

[SeRioOuS]

Все как у всех.

Все пункты из темы "правила оформления заявки" сделал.

 

Прикрепляю необходимый архив.

CollectionLog-2017.05.13-00.06.zip

[regist]

Здравствуйте!

 

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\@WanaDecryptor@.exe', '');
 QuarantineFileF('C:\ProgramData\sbpzvhyddt791', '*', true, '', 0, 0);
 QuarantineFileF('C:\Users\user\appdata\roaming\funspace\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\@WanaDecryptor@.exe');
 DeleteFileMask('C:\ProgramData\sbpzvhyddt791', '*', true);
 DeleteFileMask('C:\Users\user\appdata\roaming\funspace\', '*', true);
 DeleteDirectory('C:\Users\user\appdata\roaming\funspace\');
 DeleteDirectory('C:\ProgramData\sbpzvhyddt791');
ExecuteSysClean;
 ExecuteRepair(1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

Программы/расширения от Mail.ru используете?
 

[SeRioOuS]

https://virusinfo.info/virusdetector/report.php?md5=E60AD646B2ABDDE69C10150FEAD56832

 

Ответ по поводу карантина пока не получил.

 

Насчет программ от Мэйл.ру - стараюсь их избегать. Но установлин мэйловский геймцентр.

ClearLNK-13.05.2017_00-49.log

[regist]

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

[SeRioOuS]

вот полученный ответ по поводу карантина.

[KLAN-6230188492]

 

 

Thank you for contacting Kaspersky Lab

 

The files have been scanned in automatic mode.

 

Malicious code has been detected in the following files:

@WanaDecryptor@.exe - Trojan-Ransom.Win32.Wanna.c

@WanaDecryptor@_0.exe - Trojan-Ransom.Win32.Wanna.c

taskdl.exe - Trojan-Ransom.Win32.Agent.aapw

taskse.exe - Trojan-Ransom.Win32.Zapchast.i

u.wnry - Trojan-Ransom.Win32.Wanna.c

 

No information about the specified files can be found in the antivirus databases:

00000000.eky

00000000.pky

00000000.res

@Please_Read_Me@.txt

@WanaDecryptor@.exe.lnk

c.wnry

f.wnry

r.wnry

s.wnry/avz00012.dta.Tor.libeay32.dll

s.wnry/avz00012.dta.Tor.libevent-2-0-5.dll

s.wnry/avz00012.dta.Tor.libevent_core-2-0-5.dll

s.wnry/avz00012.dta.Tor.libevent_extra-2-0-5.dll

s.wnry/avz00012.dta.Tor.libgcc_s_sjlj-1.dll

s.wnry/avz00012.dta.Tor.libssp-0.dll

s.wnry/avz00012.dta.Tor.ssleay32.dll

s.wnry/avz00012.dta.Tor.tor.exe

s.wnry/avz00012.dta.Tor.zlib1.dll

t.wnry

m_bulgarian.wnry

m_chinese (simplified).wnry

m_chinese (traditional).wnry

m_croatian.wnry

m_czech.wnry

m_danish.wnry

m_dutch.wnry

m_english.wnry

m_filipino.wnry

m_finnish.wnry

m_french.wnry

m_german.wnry

m_greek.wnry

m_indonesian.wnry

m_italian.wnry

m_japanese.wnry

m_korean.wnry

m_latvian.wnry

m_norwegian.wnry

m_polish.wnry

m_portuguese.wnry

m_romanian.wnry

m_russian.wnry

m_slovak.wnry

m_spanish.wnry

m_swedish.wnry

m_turkish.wnry

m_vietnamese.wnry

libeay32.dll

libevent_core-2-0-5.dll

libevent_extra-2-0-5.dll

ssleay32.dll

taskhsvc.exe

tor.exe

 

The format of the attached files is safe, they cannot be malicious:

b.wnry

 

Riskware which may harm your computer was detected in the following files:

FunSpace.Update.Process.exe - not-a-virus:Downloader.MSIL.Agent.n

VKMusic.exe - not-a-virus:HEUR:Downloader.Win32.LMN.gen

 

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

    

This is an automatically generated message. Please do not reply to it.

 

Anti-Virus Lab, Kaspersky Lab HQ

 

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia

Tel./Fax: + 7 (495) 797 8700 

http://www.kaspersky.com http://www.viruslist.com"

а вот отчет.

хотелось бы узнать, смогу ли я в конечном итоге вернуть все файлы в рабочее состояние?

AdwCleanerS1.txt

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan" ("Сканировать").
• По окончанию сканирования снимите галочки со следующих строк:
  

  Найдена папка: C:\users\user\AppData\Local\Mail.Ru
  Найден файл: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AkelPad.lnk
  Найден ключ: HKU\.DEFAULT\Software\Mail.Ru
  Найден ключ: HKU\S-1-5-21-199069374-643346925-3418557135-1000\Software\Mail.Ru
  Найден ключ: HKU\S-1-5-21-199069374-643346925-3418557135-1000\Software\AppDataLow\Software\Mail.Ru
  Найден ключ: HKU\S-1-5-18\Software\Mail.Ru
  Найден ключ: HKCU\Software\Mail.Ru
  Найден ключ: HKCU\Software\AppDataLow\Software\Mail.Ru
  Найден ключ: HKLM\SOFTWARE\Mail.Ru
  Найден ключ: [x64] HKCU\Software\Mail.Ru
  Найден ключ: [x64] HKCU\Software\AppDataLow\Software\Mail.Ru

• Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[SeRioOuS]

прикрепляю.

я так понимаю, продолжения ждать завтра)
тему не закрывайте тогда, что ли...

AdwCleanerC0.txt

FRST.txt

Addition.txt

Shortcut.txt

[regist]

1) Обновление поставьте http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
И в будущем не забывайте своевременно обновляться.

 

2)

Java(TM) 6 Update 14 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86416014FF}) (Version: 6.0.140 - Sun Microsystems, Inc.)
Java(TM) 6 Update 30 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216014FF}) (Version: 6.0.300 - Sun Microsystems, Inc.)
Java(TM) 7 Update 4 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417004FF}) (Version: 7.0.40 - Oracle)

Деинсталируйте.

 

 

3) Unity Web Player - если сами не ставили, то тоже.

 

4) Папка

C:\Users\user\AppData\Roaming\RAC\

Вам знакома?

 

Проверьте этот файл на virustotal

C:\Users\user\AppData\Roaming\RAC\svcsc.exe

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

 

 

5)

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  CustomCLSID: HKU\S-1-5-21-199069374-643346925-3418557135-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-199069374-643346925-3418557135-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-199069374-643346925-3418557135-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-199069374-643346925-3418557135-1000_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-199069374-643346925-3418557135-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-199069374-643346925-3418557135-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-199069374-643346925-3418557135-1000_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.32.7\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-199069374-643346925-3418557135-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-199069374-643346925-3418557135-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-199069374-643346925-3418557135-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-199069374-643346925-3418557135-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => No File
  FirewallRules: [{763E72CD-5E92-4F42-9EB6-F423096E6747}] => (Allow) svchost.exe
  FirewallRules: [TCP Query User{5F51F20C-DD7A-45A3-AC6E-60DB0886DEB5}C:\users\user\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\user\appdata\local\akamai\netsession_win.exe
  FirewallRules: [UDP Query User{819CEBD1-32EB-4421-A726-86FD1C3F064B}C:\users\user\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\user\appdata\local\akamai\netsession_win.exe
  FirewallRules: [{7366E3D4-16DC-4CA9-8E97-2C8E548074B6}] => (Block) C:\users\user\appdata\local\akamai\netsession_win.exe
  FirewallRules: [{246CC8AD-2303-41CB-81ED-FCFE80018BBA}] => (Block) C:\users\user\appdata\local\akamai\netsession_win.exe
  HKU\S-1-5-21-199069374-643346925-3418557135-1000\...\Run: [LG LinkAir] => [X]
  HKU\S-1-5-21-199069374-643346925-3418557135-1000\...\Policies\Explorer: []
  HKU\S-1-5-21-199069374-643346925-3418557135-1000\...\MountPoints2: {6ae310e8-079d-11e6-9e31-d7a4f5a3b004} - G:\AutoRun.exe
  HKU\S-1-5-21-199069374-643346925-3418557135-1000\...\MountPoints2: {9281d7ba-14cc-11e1-8f2b-974afbd8a24e} - H:\AutoRunBloodmoon.exe
  HKU\S-1-5-21-199069374-643346925-3418557135-1000\...\MountPoints2: {9705b335-7d2d-11e0-85a3-0025645484cd} - E:\AutoRun.exe
  HKU\S-1-5-21-199069374-643346925-3418557135-1000\...\MountPoints2: {974c7adf-a496-11e0-8a3e-0c60769180fd} - E:\AutoRunMorrowind.exe
  HKU\S-1-5-21-199069374-643346925-3418557135-1000\...\MountPoints2: {974c7ae0-a496-11e0-8a3e-0c60769180fd} - F:\AutoRunTribunal.exe
  HKU\S-1-5-21-199069374-643346925-3418557135-1000\...\MountPoints2: {d8aaa618-cd06-11e2-ada3-8e81d76acdc6} - G:\LGAutoRun.exe
  BHO: grrEatsaeverr -> {45A1F756-E501-CD0D-8568-3599BF7BF22C} -> C:\Program Files (x86)\grrEatsaeverr\6ClIv4TuKo.x64.dll => No File
  BHO-x32: grrEatsaeverr -> {45A1F756-E501-CD0D-8568-3599BF7BF22C} -> C:\Program Files (x86)\grrEatsaeverr\6ClIv4TuKo.dll => No File
  BHO-x32: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll => No File
  Toolbar: HKLM-x32 - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll No File
  Toolbar: HKU\S-1-5-21-199069374-643346925-3418557135-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
  CHR HomePage: Default -> hxxp://mail.ru/cnt/7993/
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=profitraf3"
  CHR Extension: (Календарь@Mail.ru) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\kkldmlcnhelhmmggpfmbefodigbcakjd [2017-05-12]
  2017-05-12 19:57 - 2017-05-11 20:13 - 01440054 _____ C:\Users\user\Desktop\@WanaDecryptor@.bmp
  2017-05-12 19:57 - 2017-05-11 20:13 - 01440054 _____ C:\Users\Public\Desktop\@WanaDecryptor@.bmp
  2017-05-12 19:57 - 2017-05-11 20:13 - 01440054 _____ C:\Users\Default\Desktop\@WanaDecryptor@.bmp
  2017-05-12 19:57 - 2017-05-11 20:13 - 01440054 _____ C:\Users\Default User\Desktop\@WanaDecryptor@.bmp
  2017-05-12 19:35 - 2017-05-12 18:07 - 00000933 _____ C:\Users\user\Downloads\@Please_Read_Me@.txt
  2017-05-12 19:32 - 2017-05-12 18:07 - 00000933 _____ C:\Users\user\AppData\Local\@Please_Read_Me@.txt
  2017-05-12 19:32 - 2017-05-12 18:07 - 00000736 _____ C:\Users\user\AppData\Local\@WanaDecryptor@.exe.lnk
  2017-05-12 19:27 - 2017-05-12 18:07 - 00000933 _____ C:\Users\user\Documents\@Please_Read_Me@.txt
  2017-05-12 19:27 - 2017-05-12 02:22 - 00245760 _____ C:\Users\user\Documents\@WanaDecryptor@.exe
  2017-05-12 18:07 - 2017-05-12 18:07 - 00000933 _____ C:\Users\user\Desktop\@Please_Read_Me@.txt
  2017-05-12 18:06 - 2017-05-12 22:02 - 03514368 ____S C:\Windows\qeriuwjhrf
  2017-05-12 22:03 - 2014-01-02 01:53 - 00000000 ____D C:\Users\Администратор\AppData\Local\Torch
  Folder: C:\Windows\SysWOW64\%Data%
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.


 

[SeRioOuS]

пишет, что обновление неприменимо к данному компьютеру

у меня лицензионный виндоус 7, домашняя базовая

и сразу вопрос, как деинсталлировать во втором пункте? (решен)

 

юнити плеер ставил сам для игр, но уже не использую - удалить? (удалил)

 

папка из 4 пункта мне не знакома

отпишусь, как выполню все действия...

результат проверки по 4 пункту:

https://www.virustotal.com/ru/file/4e73df13c7ac8b96ea286ec38a1b3a1b2413d7ba391c5926b9d84f8ea56fc10e/analysis/1494665929/

прикрепляю.

Fixlog.txt

Изменено 13 мая, 2017 пользователем SeRioOuS

[regist]

С обновлениями у вас сильно запущено . Если не хотите и дальше хватать вирусню, то
 
1) Скачайте и установите SP1.
 
2) Через центр обновления windows установите критические обновления безопасности.
 
3)

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-199069374-643346925-3418557135-1000\...\Run: [svcsc.exe] => C:\Users\user\AppData\Roaming\RAC\svcsc.exe [246 2016-10-22] ()
  C:\Users\user\AppData\Roaming\RAC\svcsc.exe
  Folder:C:\Users\user\AppData\Roaming\RAC\
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).

• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
• Компьютер будет перезагружен автоматически.
  
   
  4) Свежие логи FRST сделайте.

Изменено 13 мая, 2017 пользователем regist

[SeRioOuS]

все пункты выполнил, кроме обновления. подскажите, в чем проблема? как я понимаю, у меня винда "обрезанная", вроде демо версии (условно) ? 

На выбор дает для скачивания:

 

 

7601.17514.101119-1850_Update_Sp_Wave1-GRMSP1.1_DVD.iso

1.9 GB

Windows_Win7SP1.7601.17514.101119-1850.AMD64CHK.Symbols.msi

262.7 MB

Windows_Win7SP1.7601.17514.101119-1850.AMD64FRE.Symbols.msi

287.8 MB

Windows_Win7SP1.7601.17514.101119-1850.IA64CHK.Symbols.msi

241.8 MB

Windows_Win7SP1.7601.17514.101119-1850.IA64FRE.Symbols.msi

193.4 MB

Windows_Win7SP1.7601.17514.101119-1850.X86CHK.Symbols.msi

294.5 MB

Windows_Win7SP1.7601.17514.101119-1850.X86FRE.Symbols.msi

330.6 MB

windows6.1-KB976932-IA64.exe

511.6 MB

windows6.1-KB976932-X64.exe

903.2 MB

windows6.1-KB976932-X86.exe

537.8 MB

подскажите, какую нужно выбрать, пожалуйста.

Изменено 13 мая, 2017 пользователем SeRioOuS

[regist]

 

 

все пункты выполнил, кроме обновления. подскажите, в чем проблема?

Проблема в том, что шифровальшик залез к вам через дыру, которая была закрыта обновлением виндоус. Подробности в этой статье MS17-010.

Так что если бы у вас стояли актуальные обновления, то вы бы не заразились и ваши файлы были бы целы.

 

 

На выбор дает для скачивания:

Не понял, это откуда список?

 

Service Pack 1 для Windows 7 качайте отсюда.

[SeRioOuS]

читал уже эти темы. Я сейчас пытаюсь лечить ноутбук, а еще есть ПК, который так же был подвержен атаке, но почему-то файлы не зашифровались и сейчас, вроде бы, все в порядке. Разница только в том, что на ПК был обновлен и активирован антивирус касперского, а на ноуте нет. Ну и на ПК винда другая стоит. Седьмая, но не лицензия.

 

качаю именно оттуда. Когда нажимаю на кнопку "скачать" предлагается этот список.

центр обновления винды нашел 25 обновлений)))))

да, с обновлениями туго, с момента покупки в 2009 ни разу не обновлялось ничего, влючая винду.

пока что поставил все, что он предложил.

[regist]

Когда закончите с обновлениями сделайте свежие логи FRST и выложите тут.

[SeRioOuS]

хорошо, это скорее всего будет ближе к вечеру (по Мск). 

просьба тему не закрывать, когда все сделаю - апну.