Перейти к содержанию

дешифрование

pushina-juliya@mail.ru
 Share Подписчики 0

Рекомендуемые сообщения

pushina-juliya@mail.ru

pushina-juliya@mail.ru 0

Опубликовано
Опубликовано (изменено)

Здравствуйте. 

У меня произошла такая проблема. Вчера, 12.05.2017, примерно в седьмом часу вечера файлы на рабочем столе самопроизвольно передвинулись со своего обычного места. Ни один файл не открывался. На всех типах файлов стоит разрешение ".WNCRY". Я попробовала самостоятельно изменить разрешение, но у меня ничего не вышло. На данный момент, проблема не разрешена. Подскажите, пожалуйста, что мне нужно сделать для устранения данной проблемы.

Заранее благодарна.

log.txt

report1.log

report2.log

Отчёт.zip

Изменено пользователем pushina-juliya@mail.ru
Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано (изменено)

Здравствуйте!

1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\user\AppData\Local\SaveYouTime\stub.exe', '');
 QuarantineFile('C:\Users\user\AppData\Local\SaveYouTime\config.json', '');
 QuarantineFile('C:\Users\user\AppData\Local\Temp\new-super-ext.exe', '');
 QuarantineFile('C:\Users\user\AppData\Local\Hostinstaller\2552748014_installcube.exe', '');
 QuarantineFileF('c:\users\user\appdata\local\saveyoutime', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\user\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('C:\ProgramData\vlybunthgakppo897', '*', true, '', 0, 0);
 DeleteFile('C:\Users\user\AppData\Local\SaveYouTime\stub.exe', '32');
 DeleteFile('C:\Users\user\AppData\Local\SaveYouTime\config.json', '32');
 DeleteFile('C:\Users\user\AppData\Local\Temp\new-super-ext.exe', '32');
 DeleteFile('C:\Users\user\AppData\Local\Hostinstaller\2552748014_installcube.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 DeleteFileMask('C:\ProgramData\vlybunthgakppo897', '*', true);
 DeleteFileMask('c:\users\user\appdata\local\saveyoutime', '*', true);
 DeleteFileMask('c:\users\user\appdata\local\hostinstaller', '*', true);
 DeleteDirectory('C:\ProgramData\vlybunthgakppo897');
 DeleteDirectory('c:\users\user\appdata\local\saveyoutime');
 DeleteDirectory('c:\users\user\appdata\local\hostinstaller');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SaveYouTime');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '001dae8c');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:

3)- Выполните в АВЗ:


begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

4)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

5)

AnySend [2017/02/05 21:30:52]-->"C:\Program Files\80d07436-8399-45ce-b247-9a210fe4caf61486305054\Uninstall.exe"
Служба автоматического обновления программ [2017/04/16 01:06:21]-->C:\Users\user\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall

деинсталируйте

 

6)

Элементы Яндекса 8.0 для Internet Explorer [20140621]-->MsiExec.exe /X{DF6041C2-5361-4A00-BFDC-9EDBC35FC189}

Если не используете, то тоже.

 

7) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 
8) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты
pushina-juliya@mail.ru

pushina-juliya@mail.ru 0

Опубликовано
  • Автор
Опубликовано

Re: quarantine.zip [KLAN-6233075609]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
config.json
!config.json
launcher.exe
uninstall.exe
ghcdaheihefjaiihlegkggmmanbakmge.json
manifest.json
scs.js
computed_hashes.json
verified_contents.json
00000000.eky
00000000.pky
00000000.res
@Please_Read_Me@.txt
@WanaDecryptor@.exe.lnk
c.wnry
f.wnry
r.wnry
s.wnry/avz00021.dta.Tor.libeay32.dll
s.wnry/avz00021.dta.Tor.libevent-2-0-5.dll
s.wnry/avz00021.dta.Tor.libevent_core-2-0-5.dll
s.wnry/avz00021.dta.Tor.libevent_extra-2-0-5.dll
s.wnry/avz00021.dta.Tor.libgcc_s_sjlj-1.dll
s.wnry/avz00021.dta.Tor.libssp-0.dll
s.wnry/avz00021.dta.Tor.ssleay32.dll
s.wnry/avz00021.dta.Tor.tor.exe
s.wnry/avz00021.dta.Tor.zlib1.dll
t.wnry
m_bulgarian.wnry
m_chinese (simplified).wnry
m_chinese (traditional).wnry
m_croatian.wnry
m_czech.wnry
m_danish.wnry
m_dutch.wnry
m_english.wnry
m_filipino.wnry
m_finnish.wnry
m_french.wnry
m_german.wnry
m_greek.wnry
m_indonesian.wnry
m_italian.wnry
m_japanese.wnry
m_korean.wnry
m_latvian.wnry
m_norwegian.wnry
m_polish.wnry
m_portuguese.wnry
m_romanian.wnry
m_russian.wnry
m_slovak.wnry
m_spanish.wnry
m_swedish.wnry
m_turkish.wnry
m_vietnamese.wnry

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
new-super-ext.exe - not-a-virus:WebToolbar.Win32.MultiPlug.bml
2552748014_installcube.exe - not-a-virus:HEUR:Downloader.Win32.AdLoad.gen

Перечисленные файлы имеют безопасный формат и не могут быть вредоносными:
b.wnry

В следующих файлах обнаружен вредоносный код:
taskdl.exe - Trojan-Ransom.Win32.Agent.aapw
taskse.exe - Trojan-Ransom.Win32.Zapchast.i

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com http://www.viruslist.com"

--------------------------------------------------------------------------------
From: 
Sent: 5/13/2017 11:59:00 AM
To: newvirus@kaspersky.com
Subject: quarantine.zip

 

Сообщение от модератора Mark D. Pearlstone
Адрес почты пользователя удалён.

Отправляю Вам файл

Fixlog.txt

ClearLNK-13.05.2017_16-19.log

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

Выполняй скрипты написанные для других пользователей вы рискуете убить свою систему окончательно, а пользы они в любом случае не принесут так как пишутся индивидуально для каждого случая.

 

Программы/расширения от Mail.ru используете?
 


+

Обновление поставьте http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
И в будущем не забывайте своевременно обновляться.

Ссылка на сообщение
Поделиться на другие сайты
pushina-juliya@mail.ru

pushina-juliya@mail.ru 0

Опубликовано
  • Автор
Опубликовано

Я не совсем поняла, о чём речь в первом предложении. Иногда почему-то расширения от Mail.ru самопроизвольно устанавливаются, я их удаляю, но, может быть, что я не профессионал, удаляю только поверхностно. 
Вы мне сказали переделать fixlog, а он у меня что-то долго переустанавливается. 

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

 

 


Я не совсем поняла, о чём речь в первом предложении.
Откуда у вас

 

 


Fixlog.txt
Если у вас даже логов FRST пока не просили?!

 

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome

    [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано (изменено)

Расширения от Yandex в браузерах сами ставили?

OPR Extension: (Антимат) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\dojgfgknadakhfnaogaipdbdamepeffe [2016-04-17]

 аналогично сами ставили?

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты
pushina-juliya@mail.ru

pushina-juliya@mail.ru 0

Опубликовано
  • Автор
Опубликовано (изменено)

Когда скачивала какие-то программы, предлагалось установить Яндекс.Бар.

Изменено пользователем pushina-juliya@mail.ru
Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

IObit Driver Booster - как понимаю уже удалён?

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:
HKU\S-1-5-21-978437330-752436428-830905021-1000\...\MountPoints2: {2ee4fd65-c7d4-11e3-9404-485b39734ea4} - E:\AutoRun.exe
HKU\S-1-5-21-978437330-752436428-830905021-1000\...\MountPoints2: {98ea8c30-4b5e-11e3-8eaf-806e6f6e6963} - F:\AUTORUN.EXE
HKU\S-1-5-21-978437330-752436428-830905021-1000\...\MountPoints2: {d38413de-c6dc-11e3-955d-1c4bd6cbd746} - E:\AutoRun.exe
HKU\S-1-5-21-978437330-752436428-830905021-1000\...\MountPoints2: {d38413f1-c6dc-11e3-955d-485b39734ea4} - E:\AutoRun.exe
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-978437330-752436428-830905021-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll => No File
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=822358
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B9D8F37FC-04CB-4B5F-8193-1F8097F1A8E9%7D&gp=822368
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-04-23]
FF Extension: (Поиск@Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-04-23]
FF Extension: (Яндекс.Бар) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\yasearch@yandex.ru [2014-04-13] [not signed]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-04-23]
CHR Extension: (Fast search) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-06]
OPR Extension: (No Name) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-09-19]
2017-05-12 19:32 - 2017-05-12 18:42 - 00000933 _____ C:\Users\user\Documents\@Please_Read_Me@.txt
2017-05-12 18:42 - 2017-05-12 18:44 - 03514368 ____S C:\Windows\qeriuwjhrf
2017-05-12 18:42 - 2017-05-12 18:42 - 00000933 _____ C:\Users\user\Desktop\@Please_Read_Me@.txt
2015-12-06 10:52 - 2015-12-06 10:52 - 6420480 _____ () C:\Program Files\GUTC69A.tmp
2014-04-13 23:28 - 2016-10-06 19:29 - 7398400 ____H () C:\Users\user\AppData\Roaming\base.db
2013-11-12 09:26 - 2013-11-12 09:26 - 0000017 _____ () C:\Users\user\AppData\Local\resmon.resmoncfg
2016-09-19 21:28 - 2016-09-19 21:29 - 15206472 _____ (IObit                                                       ) C:\Users\user\AppData\Local\Temp\BD38.tmp.exe
2016-09-19 21:28 - 2016-09-19 21:28 - 4423896 _____ () C:\Users\user\AppData\Local\Temp\hcv_mailruhomesearch (1).exe
2016-09-19 21:28 - 2016-09-19 21:29 - 4423896 _____ () C:\Users\user\AppData\Local\Temp\hcv_mailruhomesearch (2).exe
2016-09-19 21:27 - 2016-09-19 21:27 - 4423896 _____ () C:\Users\user\AppData\Local\Temp\hcv_mailruhomesearch.exe
2016-04-16 16:23 - 2016-04-16 16:23 - 0000000 _____ () C:\Users\user\AppData\Local\Temp\KB29584E778AEF6858.exe
2016-04-16 16:23 - 2016-04-16 16:23 - 0000000 _____ () C:\Users\user\AppData\Local\Temp\KB2C01840.exe
2016-04-16 16:58 - 2016-04-16 17:00 - 48920808 _____ (Mail.Ru) C:\Users\user\AppData\Local\Temp\KB47785C9611CFAAF3.exe
2016-04-16 16:23 - 2016-04-16 16:55 - 32156640 _____ (Mail.Ru) C:\Users\user\AppData\Local\Temp\KB8D3700FF26970500.exe
2016-04-16 16:23 - 2016-04-16 16:23 - 4423896 _____ () C:\Users\user\AppData\Local\Temp\KBCF8F9D0532F5291E.exe
2016-04-16 16:58 - 2016-04-16 16:58 - 0000000 _____ () C:\Users\user\AppData\Local\Temp\KBF2A1B12E1DFCB1EB.exe
2016-09-19 21:29 - 2016-09-19 21:29 - 4423896 _____ () C:\Users\user\AppData\Local\Temp\mailruhomesearch.exe
2017-01-08 21:32 - 2017-04-21 12:53 - 4127960 _____ (Mail.Ru) C:\Users\user\AppData\Local\Temp\MailRuUpdater.exe
2016-04-16 16:34 - 2016-04-16 16:45 - 28190848 _____ (Underberry lp) C:\Users\user\AppData\Local\Temp\nsr7976.tmp.exe
2016-09-28 00:49 - 2016-09-28 00:49 - 0178056 _____ (www.obnovi-soft.ru) C:\Users\user\AppData\Local\Temp\ObnoviSoft.exe
2013-11-12 16:10 - 2006-12-12 04:20 - 0145184 ____R (Microsoft Corporation) C:\Users\user\AppData\Local\Temp\ose00000.exe
2016-04-16 16:59 - 2016-04-16 16:59 - 1959424 _____ (BitTorrent Inc.) C:\Users\user\AppData\Local\Temp\uttBFE5.tmp.exe
2016-09-19 21:28 - 2016-09-19 21:28 - 0848340 _____ (YTB Music Box                                               ) C:\Users\user\AppData\Local\Temp\YTBMusicBoxSetup.exe
Task: {46274ABB-A4F4-409E-B050-5C677974F585} - \Microsoft\Windows\Google\GoogleUpdateTaskMachine -> No File <==== ATTENTION
FirewallRules: [{3E9F3372-CCB6-487C-9E43-CCB8CB642643}] => (Allow) C:\Program Files\Zona\Zona.exe
FirewallRules: [{4D673A6F-410F-4836-BF62-CCBD7CA721D2}] => (Allow) C:\Program Files\Zona\Zona.exe
FirewallRules: [TCP Query User{E28995E6-D6BE-40A1-820B-144292B06346}C:\program files\zona\zona.exe] => (Allow) C:\program files\zona\zona.exe
FirewallRules: [UDP Query User{88E0B32C-B96C-4955-B17B-E75F5CDE049C}C:\program files\zona\zona.exe] => (Allow) C:\program files\zona\zona.exe
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.[/code]
 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Tyson
      Не работает клавиатура в Агенте аутентификации
      От Tyson
      Всем добрый день! 
       
      Начал постигать все "прелести" полнодискового шифрования касперского и столкнулся с проблемой, когда при загрузке Агента аутентификации не работают либо клавиатура, либо тачпад/мышь (к счастью одновременно пока не попадалось) и если без мыши еще обойтись как-то можно, то без клавиатуры тяжеловато, особенно для рядовых пользователей. С поддержкой контакт держим уже почти месяц, но результатов пока никаких... Может есть кто сталкивался с подобной проблемой? Удавалось ли её решить?
    • Sapfira
      Kaspersky Password Manager - приложение повреждено
      От Sapfira
      Вчера обновился Менеджер паролей до последней версии и всё работало нормально.
      А сегодня при его запуске стало выскакивать такое:

      Папка эта присутствует.
       
      А в системном журнале при этом фиксируется такая ошибка:
       
      Думала переустановить, как написано, но судя по этой теме, это бесполезно.
    • I_CaR
      Для чего нужен антивирусное ПО Касперского, если шифровальщики спокойно его отключают по RDP?
      От I_CaR
      Знаю AnyDesk из него ни чего нельзя нажать такого, что под защитой - Dr*eb, Касперского и т.п. и это вроде хорошо, что программы так себя защитили.
      Но почему на дворе 23-ий год третьего тысячелетия, нейронные сети, ИИ, но вот ПО по защите данных (антивирус Касперского) отключается парой скриптов от злоумышленников даже RDP?
      Зачем вообще платить за такой продукт?
      Есть ли смысл?
      Как показывает многолетняя практика, те вирусы, которые не убивают компьютер лечатся постфактум, даже если на ПК не было установлено антивирусное ПО. А вот те вирусы, что убивают ПК полностью - и не лечатся и спокойно проходят защиту от Касперского.
      И? И зачем тогда такое антивирусное ПО?
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в борьбе с шифровальщиками-вымогателями  
    • Anton Aralov
      Justdoit шифровальщик
      От Anton Aralov
      Взломали 11 компьютеров в сети.
      1) на большинстве машин не было админских прав
      2) пароль админа достаточно сложный для взлома( 12 знаков, цифры буквы символы)
      3) Шифровальщик удалил касперского со всех машин где он присутствовал.
      FRST.zip пример файлов.zip
    • l0l0l0zh
      В KWC не отображается ключ восстановления FileVault при запросе доступа к зашифрованному диску
      От l0l0l0zh
      Добрый день
      Для получения доступа к жесткому диску захожу в веб-консоль и нажимаю "Предоставить доступ к устройству в автономном режим" на MacOS
      Появляется окошко, где выбрана версия постоянной защиты, нажимаю снова "Получить ключ восстановления" и ничего не происходит, ключ не отображается

×
×
  • Создать...