wannadecryptor

[Надюшка Назарова]

Я в ужасе. Вручную почистила то, что нашел Spyhunter, вот только судя по всему повреждены какие-то системные файлы и теперь не работает почти ничего. Точки восстановления тоже не работают. Что-то с этим еще можно сделать?

FRST.rar

[kmscom]

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

[Надюшка Назарова]

Извиняюсь за невнимательность

CollectionLog-2017.05.13-08.47.zip

[regist]

1) C:\O0uInpM6Vj1iuNEY - что в этой папке?

 

2)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

3)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\haetqxjechxm392\tasksche.exe', '');
 QuarantineFile('C:\Windows\tasksche.exe', '');
 QuarantineFileF('C:\ProgramData\haetqxjechxm392\', '*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Windows\tasksche.exe');
 ExecuteFile('schtasks.exe', '/delete /TN "haetqxjechxm392" /F', 0, 15000, true);
 DeleteFileMask('C:\ProgramData\haetqxjechxm392\', '*', true);
 DeleteDirectory('C:\ProgramData\haetqxjechxm392\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'haetqxjechxm392');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

4) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKU\S-1-5-18\..\Run: [Norton Download Manager{N3602281014-SHPD-FSD570026}] C:\Users\Public\Downloads\Norton\{N3602281014-SHPD-FSD570026}\N360FSD.exe /m (file missing)
O4-32 - HKLM\..\Run: [haetqxjechxm392] C:\ProgramData\haetqxjechxm392\tasksche.exe  (file missing)
O22 - Task (Ready): \Auslogics\BoostSpeed\Scan and Repair - C:\Program Files (x86)\Auslogics\BoostSpeed\rundll32.exe TaskSchedulerHelper.dll,RunTask "BoostSpeed.exe" "-UseTray -Schedule" (file missing)

5)

Auslogics BitReplica [20161113]-->"C:\Program Files (x86)\Auslogics\BitReplica\unins000.exe"
Auslogics BoostSpeed 9 [20161115]-->"C:\Program Files (x86)\Auslogics\BoostSpeed\unins000.exe"
Driver Booster 4.1 [20161116]-->"C:\Program Files (x86)\IObit\Driver Booster\4.1.0\unins000.exe"
SpyHunter4 [2017/05/13 05:47:45]-->C:\Program Files\SpyHunter\Удалить SpyHunter.exe

Деинсталируйте.

 

6) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

 

7)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

Изменено 13 мая, 2017 пользователем regist

[Надюшка Назарова]

1) Папка пустая

2) https://virusinfo.info/virusdetector/report.php?md5=FD9FEBF8C67A880605FAA595FAE11DFB

3)AVZ KLAN-6232564219:

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
tasksche.exe - Trojan-Ransom.Win32.Wanna.b

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

4,5,6- выполнила

7) Файл прикреплен к сообщению

AdwCleanerS0.txt

[regist]

1) Удалите её вручную.

 

6) Где архив с логами?

 

 

+ Программы/расширения от Mail.ru используете?
 

[Надюшка Назарова]

1)Удалила

6- прикрепила к текущему сообщению

 

Да у меня от Mail.ru стоит GameCenter, и от них же игра, которая через него запускается, но я ими не пользуюсь давно. Все приложения, что не связаны были с игрой я старалась удалить.

CollectionLog-2017.05.13-11.02.zip

[regist]

1) Обновление поставьте http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
И в будущем не забывайте своевременно обновляться.
 

2) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 

3)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

[Надюшка Назарова]

Ссылка у меня почему-то так и не открылась, обновление пришлось брать с этого форума

Отчеты прикрепила

ClearLNK-13.05.2017_12-02.log

AdwCleanerS1.txt

[regist]

 

 

Да у меня от Mail.ru стоит GameCenter, и от них же игра, которая через него запускается, но я ими не пользуюсь давно.

Тогда удалите его.

 

затем.

 

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[Надюшка Назарова]

выполнила

AdwCleanerC0.txt

[regist]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Надюшка Назарова]

Прикрепила

Addition.txt

FRST.txt

Shortcut.txt

[regist]

1) Остатки Нортона и McAfee удалите  по инструкции Чистка системы после некорректного удаления антивируса

 

2) IObit Driver Booster - как понимаю уже удалён?

 

3)

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKLM-x32\...\Run: [] => [X]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [gdljkkmghdkckhaogaemgbgdfophkfco] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
  S2 haetqxjechxm392; cmd.exe /c "C:\ProgramData\haetqxjechxm392\tasksche.exe" [X]
  2017-05-12 20:31 - 2017-05-12 21:41 - 03514368 ____S (Microsoft Corporation) C:\Windows\qeriuwjhrf
  2017-05-13 05:54 - 2016-11-16 22:54 - 00000000 ____D C:\ProgramData\ProductData
  2017-02-01 22:24 - 2017-02-01 22:24 - 0000132 _____ () C:\Users\Rikku\AppData\Roaming\Установки формата PNG Adobe CS6
  2016-11-24 19:48 - 2016-11-24 19:48 - 0003455 _____ () C:\Users\Rikku\AppData\Local\ACCCx3_9_1_335.zip.aamdownload.aamd
  2016-11-24 19:48 - 2016-11-24 19:48 - 308516408 ____N () C:\Users\Rikku\AppData\Local\ACCCx3_9_1_335.zip.aamdownload.WNCRY
  2017-03-14 21:06 - 2017-05-10 19:31 - 0001456 _____ () C:\Users\Rikku\AppData\Local\Adobe Сохранить для Web 13.0 Prefs
  2016-11-14 19:06 - 2016-11-14 19:06 - 0000273 _____ () C:\ProgramData\fontcacheev1.dat
  FirewallRules: [{DE6D0058-5F6A-4FE6-B9E8-CD6F15465EA4}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.1.0\DriverBooster.exe
  FirewallRules: [{D55E4BFD-DB78-4024-BDC2-C68B2307189A}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.1.0\DriverBooster.exe
  FirewallRules: [{E4B9E27E-208B-4712-A13A-397E46E337D5}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.1.0\DBDownloader.exe
  FirewallRules: [{0CFC8A6B-7634-4D9A-B92D-9576A6BE37D3}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.1.0\DBDownloader.exe
  FirewallRules: [{4B4EE927-765D-4EC7-BB8D-64FEC081B9AB}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.1.0\AutoUpdate.exe
  FirewallRules: [{CE771B81-6B63-4F1F-A573-DC4DCA1AA37C}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\4.1.0\AutoUpdate.exe
  
  
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.[/code]
 

[Надюшка Назарова]

1) Готово

2) Да удален

3) прикрепила

Fixlog.txt