дешифрование

[pushina-juliya@mail.ru]

Здравствуйте. 

У меня произошла такая проблема. Вчера, 12.05.2017, примерно в седьмом часу вечера файлы на рабочем столе самопроизвольно передвинулись со своего обычного места. Ни один файл не открывался. На всех типах файлов стоит разрешение ".WNCRY". Я попробовала самостоятельно изменить разрешение, но у меня ничего не вышло. На данный момент, проблема не разрешена. Подскажите, пожалуйста, что мне нужно сделать для устранения данной проблемы.

Заранее благодарна.

log.txt

report1.log

report2.log

Отчёт.zip

Изменено 13 мая, 2017 пользователем pushina-juliya@mail.ru

[Elly]

Выполните правила.

[pushina-juliya@mail.ru]

Я, вроде, выполнила все правила. Вот только не поняла, что прикрепить. Вроде, этот файл

CollectionLog-2017.05.13-14.12.zip

[regist]

Здравствуйте!

1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\user\AppData\Local\SaveYouTime\stub.exe', '');
 QuarantineFile('C:\Users\user\AppData\Local\SaveYouTime\config.json', '');
 QuarantineFile('C:\Users\user\AppData\Local\Temp\new-super-ext.exe', '');
 QuarantineFile('C:\Users\user\AppData\Local\Hostinstaller\2552748014_installcube.exe', '');
 QuarantineFileF('c:\users\user\appdata\local\saveyoutime', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\user\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('C:\ProgramData\vlybunthgakppo897', '*', true, '', 0, 0);
 DeleteFile('C:\Users\user\AppData\Local\SaveYouTime\stub.exe', '32');
 DeleteFile('C:\Users\user\AppData\Local\SaveYouTime\config.json', '32');
 DeleteFile('C:\Users\user\AppData\Local\Temp\new-super-ext.exe', '32');
 DeleteFile('C:\Users\user\AppData\Local\Hostinstaller\2552748014_installcube.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 DeleteFileMask('C:\ProgramData\vlybunthgakppo897', '*', true);
 DeleteFileMask('c:\users\user\appdata\local\saveyoutime', '*', true);
 DeleteFileMask('c:\users\user\appdata\local\hostinstaller', '*', true);
 DeleteDirectory('C:\ProgramData\vlybunthgakppo897');
 DeleteDirectory('c:\users\user\appdata\local\saveyoutime');
 DeleteDirectory('c:\users\user\appdata\local\hostinstaller');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SaveYouTime');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '001dae8c');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:

3)- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

4)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

5)

AnySend [2017/02/05 21:30:52]-->"C:\Program Files\80d07436-8399-45ce-b247-9a210fe4caf61486305054\Uninstall.exe"
Служба автоматического обновления программ [2017/04/16 01:06:21]-->C:\Users\user\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall

деинсталируйте

 

6)

Элементы Яндекса 8.0 для Internet Explorer [20140621]-->MsiExec.exe /X{DF6041C2-5361-4A00-BFDC-9EDBC35FC189}

Если не используете, то тоже.

 

7) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 
8) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

Изменено 13 мая, 2017 пользователем regist

[pushina-juliya@mail.ru]

Re: quarantine.zip [KLAN-6233075609]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
config.json
!config.json
launcher.exe
uninstall.exe
ghcdaheihefjaiihlegkggmmanbakmge.json
manifest.json
scs.js
computed_hashes.json
verified_contents.json
00000000.eky
00000000.pky
00000000.res
@Please_Read_Me@.txt
@WanaDecryptor@.exe.lnk
c.wnry
f.wnry
r.wnry
s.wnry/avz00021.dta.Tor.libeay32.dll
s.wnry/avz00021.dta.Tor.libevent-2-0-5.dll
s.wnry/avz00021.dta.Tor.libevent_core-2-0-5.dll
s.wnry/avz00021.dta.Tor.libevent_extra-2-0-5.dll
s.wnry/avz00021.dta.Tor.libgcc_s_sjlj-1.dll
s.wnry/avz00021.dta.Tor.libssp-0.dll
s.wnry/avz00021.dta.Tor.ssleay32.dll
s.wnry/avz00021.dta.Tor.tor.exe
s.wnry/avz00021.dta.Tor.zlib1.dll
t.wnry
m_bulgarian.wnry
m_chinese (simplified).wnry
m_chinese (traditional).wnry
m_croatian.wnry
m_czech.wnry
m_danish.wnry
m_dutch.wnry
m_english.wnry
m_filipino.wnry
m_finnish.wnry
m_french.wnry
m_german.wnry
m_greek.wnry
m_indonesian.wnry
m_italian.wnry
m_japanese.wnry
m_korean.wnry
m_latvian.wnry
m_norwegian.wnry
m_polish.wnry
m_portuguese.wnry
m_romanian.wnry
m_russian.wnry
m_slovak.wnry
m_spanish.wnry
m_swedish.wnry
m_turkish.wnry
m_vietnamese.wnry

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
new-super-ext.exe - not-a-virus:WebToolbar.Win32.MultiPlug.bml
2552748014_installcube.exe - not-a-virus:HEUR:Downloader.Win32.AdLoad.gen

Перечисленные файлы имеют безопасный формат и не могут быть вредоносными:
b.wnry

В следующих файлах обнаружен вредоносный код:
taskdl.exe - Trojan-Ransom.Win32.Agent.aapw
taskse.exe - Trojan-Ransom.Win32.Zapchast.i

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com http://www.viruslist.com"

--------------------------------------------------------------------------------
From: 
Sent: 5/13/2017 11:59:00 AM
To: newvirus@kaspersky.com
Subject: quarantine.zip

 

Сообщение от модератора Mark D. Pearlstone

Адрес почты пользователя удалён.

Отправляю Вам файл

Fixlog.txt

ClearLNK-13.05.2017_16-19.log

[pushina-juliya@mail.ru]

Отчёт

AdwCleanerS0.txt

[regist]

Выполняй скрипты написанные для других пользователей вы рискуете убить свою систему окончательно, а пользы они в любом случае не принесут так как пишутся индивидуально для каждого случая.

 

Программы/расширения от Mail.ru используете?
 

+

Обновление поставьте http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
И в будущем не забывайте своевременно обновляться.

[pushina-juliya@mail.ru]

Я не совсем поняла, о чём речь в первом предложении. Иногда почему-то расширения от Mail.ru самопроизвольно устанавливаются, я их удаляю, но, может быть, что я не профессионал, удаляю только поверхностно. 
Вы мне сказали переделать fixlog, а он у меня что-то долго переустанавливается. 

[regist]

 

 

Я не совсем поняла, о чём речь в первом предложении.

Откуда у вас

 

 

Fixlog.txt

Если у вас даже логов FRST пока не просили?!

 

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 

[pushina-juliya@mail.ru]

Отчёт

AdwCleanerC0.txt

[regist]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[pushina-juliya@mail.ru]

Отчёты

Addition.txt

FRST.txt

Shortcut.txt

[regist]

Расширения от Yandex в браузерах сами ставили?

OPR Extension: (Антимат) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\dojgfgknadakhfnaogaipdbdamepeffe [2016-04-17]

 аналогично сами ставили?

Изменено 13 мая, 2017 пользователем regist

[pushina-juliya@mail.ru]

Когда скачивала какие-то программы, предлагалось установить Яндекс.Бар.

Изменено 13 мая, 2017 пользователем pushina-juliya@mail.ru

[regist]

IObit Driver Booster - как понимаю уже удалён?

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-978437330-752436428-830905021-1000\...\MountPoints2: {2ee4fd65-c7d4-11e3-9404-485b39734ea4} - E:\AutoRun.exe
  HKU\S-1-5-21-978437330-752436428-830905021-1000\...\MountPoints2: {98ea8c30-4b5e-11e3-8eaf-806e6f6e6963} - F:\AUTORUN.EXE
  HKU\S-1-5-21-978437330-752436428-830905021-1000\...\MountPoints2: {d38413de-c6dc-11e3-955d-1c4bd6cbd746} - E:\AutoRun.exe
  HKU\S-1-5-21-978437330-752436428-830905021-1000\...\MountPoints2: {d38413f1-c6dc-11e3-955d-485b39734ea4} - E:\AutoRun.exe
  GroupPolicy: Restriction ? <======= ATTENTION
  GroupPolicy\User: Restriction ? <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  CHR HKU\S-1-5-21-978437330-752436428-830905021-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
  BHO: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll => No File
  FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=822358
  FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B9D8F37FC-04CB-4B5F-8193-1F8097F1A8E9%7D&gp=822368
  FF Extension: (Домашняя страница Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-04-23]
  FF Extension: (Поиск@Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-04-23]
  FF Extension: (Яндекс.Бар) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\yasearch@yandex.ru [2014-04-13] [not signed]
  FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-04-23]
  CHR Extension: (Fast search) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-06]
  OPR Extension: (No Name) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-09-19]
  2017-05-12 19:32 - 2017-05-12 18:42 - 00000933 _____ C:\Users\user\Documents\@Please_Read_Me@.txt
  2017-05-12 18:42 - 2017-05-12 18:44 - 03514368 ____S C:\Windows\qeriuwjhrf
  2017-05-12 18:42 - 2017-05-12 18:42 - 00000933 _____ C:\Users\user\Desktop\@Please_Read_Me@.txt
  2015-12-06 10:52 - 2015-12-06 10:52 - 6420480 _____ () C:\Program Files\GUTC69A.tmp
  2014-04-13 23:28 - 2016-10-06 19:29 - 7398400 ____H () C:\Users\user\AppData\Roaming\base.db
  2013-11-12 09:26 - 2013-11-12 09:26 - 0000017 _____ () C:\Users\user\AppData\Local\resmon.resmoncfg
  2016-09-19 21:28 - 2016-09-19 21:29 - 15206472 _____ (IObit                                                       ) C:\Users\user\AppData\Local\Temp\BD38.tmp.exe
  2016-09-19 21:28 - 2016-09-19 21:28 - 4423896 _____ () C:\Users\user\AppData\Local\Temp\hcv_mailruhomesearch (1).exe
  2016-09-19 21:28 - 2016-09-19 21:29 - 4423896 _____ () C:\Users\user\AppData\Local\Temp\hcv_mailruhomesearch (2).exe
  2016-09-19 21:27 - 2016-09-19 21:27 - 4423896 _____ () C:\Users\user\AppData\Local\Temp\hcv_mailruhomesearch.exe
  2016-04-16 16:23 - 2016-04-16 16:23 - 0000000 _____ () C:\Users\user\AppData\Local\Temp\KB29584E778AEF6858.exe
  2016-04-16 16:23 - 2016-04-16 16:23 - 0000000 _____ () C:\Users\user\AppData\Local\Temp\KB2C01840.exe
  2016-04-16 16:58 - 2016-04-16 17:00 - 48920808 _____ (Mail.Ru) C:\Users\user\AppData\Local\Temp\KB47785C9611CFAAF3.exe
  2016-04-16 16:23 - 2016-04-16 16:55 - 32156640 _____ (Mail.Ru) C:\Users\user\AppData\Local\Temp\KB8D3700FF26970500.exe
  2016-04-16 16:23 - 2016-04-16 16:23 - 4423896 _____ () C:\Users\user\AppData\Local\Temp\KBCF8F9D0532F5291E.exe
  2016-04-16 16:58 - 2016-04-16 16:58 - 0000000 _____ () C:\Users\user\AppData\Local\Temp\KBF2A1B12E1DFCB1EB.exe
  2016-09-19 21:29 - 2016-09-19 21:29 - 4423896 _____ () C:\Users\user\AppData\Local\Temp\mailruhomesearch.exe
  2017-01-08 21:32 - 2017-04-21 12:53 - 4127960 _____ (Mail.Ru) C:\Users\user\AppData\Local\Temp\MailRuUpdater.exe
  2016-04-16 16:34 - 2016-04-16 16:45 - 28190848 _____ (Underberry lp) C:\Users\user\AppData\Local\Temp\nsr7976.tmp.exe
  2016-09-28 00:49 - 2016-09-28 00:49 - 0178056 _____ (www.obnovi-soft.ru) C:\Users\user\AppData\Local\Temp\ObnoviSoft.exe
  2013-11-12 16:10 - 2006-12-12 04:20 - 0145184 ____R (Microsoft Corporation) C:\Users\user\AppData\Local\Temp\ose00000.exe
  2016-04-16 16:59 - 2016-04-16 16:59 - 1959424 _____ (BitTorrent Inc.) C:\Users\user\AppData\Local\Temp\uttBFE5.tmp.exe
  2016-09-19 21:28 - 2016-09-19 21:28 - 0848340 _____ (YTB Music Box                                               ) C:\Users\user\AppData\Local\Temp\YTBMusicBoxSetup.exe
  Task: {46274ABB-A4F4-409E-B050-5C677974F585} - \Microsoft\Windows\Google\GoogleUpdateTaskMachine -> No File <==== ATTENTION
  FirewallRules: [{3E9F3372-CCB6-487C-9E43-CCB8CB642643}] => (Allow) C:\Program Files\Zona\Zona.exe
  FirewallRules: [{4D673A6F-410F-4836-BF62-CCBD7CA721D2}] => (Allow) C:\Program Files\Zona\Zona.exe
  FirewallRules: [TCP Query User{E28995E6-D6BE-40A1-820B-144292B06346}C:\program files\zona\zona.exe] => (Allow) C:\program files\zona\zona.exe
  FirewallRules: [UDP Query User{88E0B32C-B96C-4955-B17B-E75F5CDE049C}C:\program files\zona\zona.exe] => (Allow) C:\program files\zona\zona.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.[/code]