Перейти к содержанию

Рекомендуемые сообщения

Вчера вечером обнаружил на своем компьютере вирус-шифровальщик WannaDecryptor, который изменил расширение многих файлов на .WNCRY. Попытка расшифровать их с помощью утилиты RectorDecryptor успеха не принесла. Программа обнаружила 16 656 пораженных файлов. Согласно инструкциям на этом форуме, я выполнил сбор логов вируса.

CollectionLog-2017.05.13-06.50.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\2014~1\appdata\local\temp\{ac6f3913-6f3b-4bcf-9fd3-468d7d92a7b7}\{d46580ba-7c33-4a0d-8d97-e0f75c44f9db}.exe');
 StopService('clr_optimization_v1.03');
 QuarantineFile('c:\users\2014~1\appdata\local\temp\{ac6f3913-6f3b-4bcf-9fd3-468d7d92a7b7}\{d46580ba-7c33-4a0d-8d97-e0f75c44f9db}.exe', '');
 QuarantineFile('C:\Users\Админ2014\AppData\Roaming\System\svchost.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk', '');
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.url', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', '');
 QuarantineFile('C:\@WanaDecryptor@.exe', '');
 QuarantineFileF('C:\Users\Админ2014\AppData\Roaming\System\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\BonanzaDealsLive\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Админ2014\AppData\Roaming\System\svchost.exe', '32');
 DeleteFile('C:\@WanaDecryptor@.exe');
 DeleteFile('C:\Windows\tasks\BonanzaDealsLiveUpdateTaskMachineCore.job');
 ExecuteFile('schtasks.exe', '/delete /TN "BonanzaDealsUpdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "BonanzaDealsLiveUpdateTaskMachineUA" /F', 0, 15000, true);
 DeleteService('clr_optimization_v1.03');
 DeleteFileMask('C:\Users\Админ2014\AppData\Roaming\System\', '*', true);
 DeleteFileMask('C:\Program Files (x86)\BonanzaDealsLive\', '*', true);
 DeleteDirectory('C:\Users\Админ2014\AppData\Roaming\System\');
 DeleteDirectory('C:\Program Files (x86)\BonanzaDealsLive\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Flash Player SU', 'command');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
  clearlog;
  PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
  AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
  SaveLog(PathAutoLogger+'report3.log');
    if FolderIsEmpty(PathAutoLogger+'CrashDumps')
        then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
        else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 180000, false)
        else ExecuteFile('7za.pif', CMDLine, 0, 180000, false);
  AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.7z из папки с AutoLogger пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут.
 

 

 


ps. у вас и без этого шифровальщика полно вирусной дряни на компе.

Ссылка на сообщение
Поделиться на другие сайты

Я выполнил Ваши инструкции. Архив вирусов с VirusDetector отправлен, но, к сожалению, к этому сообщению не получается прикрепить архив Report.7z. 
Ответ на файл quarantine.zip от AVZ:

[KLAN-6234177061] (KLAN-6234177061)

Благодарим Вас за обращение в Лаборатории Касперского 
 
Файлы были отсканированы в автоматическом режиме. 
 
Нет информации о заданных файлов можно найти в антивирусных базах: 
iexplore.url 
 
Вредоносный код был обнаружен в следующих файлах: 

 

@ WanaDecryptor @ .exe - Trojan-Ransom.Win32.Wanna.c

ClearLNK-13.05.2017_18-24.log

Ссылка на сообщение
Поделиться на другие сайты

 

 


но, к сожалению, к этому сообщению не получается прикрепить архив Report.7z.
загрузите его на файлообменник, например на один из этих файлообменников http://rghost.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ и дайте на него ссылку в Вашей теме.
Ссылка на сообщение
Поделиться на другие сайты

 

 


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.
Это ещё не сделали.
Ссылка на сообщение
Поделиться на другие сайты

Служба автоматического обновления программ [2017/04/14 22:22:16]-->C:\Users\Админ2014\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall
Элементы Яндекса 7.2 для Internet Explorer [20131229]-->MsiExec.exe /X{EE24665C-844A-4489-9F11-70E41F4EE476}

Если сами не ставили/не используете, то деинсталируйте.

 

Программы/расширения от Mail.ru используете?

 

C:\Шифр

Эту папку сами создали?

Ссылка на сообщение
Поделиться на другие сайты

Программы от Mail'а не использую, но как-то по недосмотру установил Амиго и еще какую-то прогу от них. Папку создал сам. RectorDecryptor "просил" ее создать

Ссылка на сообщение
Поделиться на другие сайты

Служба автоматического обновления программ - если ещё не деинсталировали, то деинсталируйте.

 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.


 

Ссылка на сообщение
Поделиться на другие сайты

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Tools ->Options (Инструменты ->Настройки) отметьте:
    • Сброс политик IE
    • Сброс политик Chrome

    [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Ссылка на сообщение
Поделиться на другие сайты

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите File (Файл) Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

 

Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
И в будущем не забывайте своевременно обновляться.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...