Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте, поймал вирус на компьютер  с установленный антивирусом Kaspersky Free 17.0.0.611 - Trojan-Ransom.win32.wanna.c антивирус судя по логам удалил данный вирус и поместил его в карантин (довольно много файлов шифровальщика). 

Ключ от платной версии касперского имеется, хочу написать в тех поддержку но посоветоваться у вас. 

Файл ReadMe прикрепил.

 

Имена файлов при этом: P_20161031_100905.jpg.WNCRY

 

Посмотрел более подробно карантин и нашёл в нём следующее:

 

Тоесть в карантине 5 вирусов: 

 

Trojan-Ransom.Win32.Wanna.c папка Хиты в тачку. Лучшая музыка 5\ файл @WanaDecryptor@.exe

Trojan-Ransom.Win32.Fury.fr;

UDS:DangerousObject.Multi.Generic;  папка C:\ProgramData\ogjsbwkyvtj270\ файл taskdl.exe 

HEUR:Trojan.Win32.Generic  папка C:\Users\Саша\AppData\Local\ файл evyzuf.dll

Trojan-Ransom.Win32.Wanna.b папка C:\Windows\ файл qeriuwjhrf

 

Файл карантин.jpg карантин антивируса.

 

При этом теневые фалы копий диска C есть, а вот на диске D таких копий нет.

 

Прошу помочь в расшифровке.

 

CollectionLog-2017.05.13-14.13.zip

post-21847-0-70661900-1494670620_thumb.jpg

@Please_Read_Me@.txt

Ссылка на комментарий
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('54EB482');
 StopService('5D962E5');
 QuarantineFile('C:\Windows\TEMP\54EB482.sys', '');
 QuarantineFile('C:\Windows\TEMP\5D962E5.sys', '');
 QuarantineFileF('C:\ProgramData\ogjsbwkyvtj270', '**', true, '', 0, 0);
 ExecuteFile('schtasks.exe', '/delete /TN "Wise Turbo Checker" /F', 0, 15000, true);
 DeleteFileMask('C:\ProgramData\ogjsbwkyvtj270', '*', true);
 DeleteDirectory('C:\ProgramData\ogjsbwkyvtj270');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text=
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D} - yambler - http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text=
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{88CABCE8-A887-4d4f-85EE-FF431B28A887} - yambler - http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text={searchTerms}
R4 - HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - (no name) - (no URL)
O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task (Ready): Wise Turbo Checker - C:\Program Files\Wise\Wise Care 365\WiseTurbo.exe (file missing)
O22 - Task (Ready): \Norton Identity Safe\Norton Error Analyzer - C:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe /analyze (file missing)
O22 - Task (Ready): \Norton Identity Safe\Norton Error Processor - C:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe /submit (file missing)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

Программы/расширения от Mail.ru используете?
 

 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.


+ Windows 7 for 32-bit Service Pack 1

 

И в будущем не забывайте своевременно обновляться.

Ссылка на комментарий
Поделиться на другие сайты

Программы/расширения от Mail.ru используете?

не ответили.

 

+ Поставьте обновление KB4019263

+ - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Ссылка на комментарий
Поделиться на другие сайты

Простите пожалуйста.

Не использую программы от mail.ru

 

Ответ в письме: Re: quarantine.zip [KLAN-6233574010]

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
00000000.eky
00000000.pky
00000000.res
@Please_Read_Me@.txt
@WanaDecryptor@.exe.lnk
c.wnry
f.wnry
r.wnry
s.wnry/avz00010.dta.Tor.libeay32.dll
s.wnry/avz00010.dta.Tor.libevent-2-0-5.dll
s.wnry/avz00010.dta.Tor.libevent_core-2-0-5.dll
s.wnry/avz00010.dta.Tor.libevent_extra-2-0-5.dll
s.wnry/avz00010.dta.Tor.libgcc_s_sjlj-1.dll
s.wnry/avz00010.dta.Tor.libssp-0.dll
s.wnry/avz00010.dta.Tor.ssleay32.dll
s.wnry/avz00010.dta.Tor.tor.exe
s.wnry/avz00010.dta.Tor.zlib1.dll
t.wnry
m_bulgarian.wnry
m_chinese (simplified).wnry
m_chinese (traditional).wnry
m_croatian.wnry
m_czech.wnry
m_danish.wnry
m_dutch.wnry
m_english.wnry
m_filipino.wnry
m_finnish.wnry
m_french.wnry
m_german.wnry
m_greek.wnry
m_indonesian.wnry
m_italian.wnry
m_japanese.wnry
m_korean.wnry
m_latvian.wnry
m_norwegian.wnry
m_polish.wnry
m_portuguese.wnry
m_romanian.wnry
m_russian.wnry
m_slovak.wnry
m_spanish.wnry
m_swedish.wnry
m_turkish.wnry
m_vietnamese.wnry
Новый текстовый документ (8).txt
010.jpg.WNCRY
@Please_Read_Me@_0.txt
A Little Less Conversation.mp3.WNCRY
Новый текстовый документ (8).txt.WNCRY

Перечисленные файлы имеют безопасный формат и не могут быть вредоносными:
b.wnry
010.jpg
карантин.jpg

В следующих файлах обнаружен вредоносный код:
u.wnry - Trojan-Ransom.Win32.Wanna.c

В ходе проверки в автоматическом режиме не удалось распаковать архив. Пожалуйста, пришлите нам пароль, которым защищен ваш архив или создайте новый архив с паролем "infected" (без кавычек).
virus.rar

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

 

Программы/расширения от Mail.ru используете?

не ответили.

+ Поставьте обновление KB4019263
+ - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 


Странно кажется я не тот файл отправил...:( сейчас проверю.

Ссылка на комментарий
Поделиться на другие сайты

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Tools ->Options (Инструменты ->Настройки) отметьте:
    • Сброс политик IE
    • Сброс политик Chrome

    [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.


Ну и само собой жду отчёт ClearLNK.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте, удалил все через программу AdwCleaner, почистил ярлыки в ClearLNK. Логи прикрепил. 

AdwCleanerC0.txt

ClearLNK-14.05.2017_20-03.log

Изменено пользователем Gameframe
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Здравствуйте, простите за долгий ответ в теме.

 

 

А когда антивирус стал считать вирусом вроде как безобидный txt файл?

 

18.05.2017 22.21.38;

Обнаруженный объект (файл) удален;c:\папка\1\@Please_Read_Me@.txt;

c:\папка\1\@Please_Read_Me@.txt;;Trojan-Ransom.Win32.Wanna.aa;

Троянская программа;05/18/2017 22:21:38

 

:)

Addition.txt

FRST.txt

Shortcut.txt

Изменено пользователем Gameframe
Ссылка на комментарий
Поделиться на другие сайты

 

 


А когда антивирус стал считать вирусом вроде как безобидный txt файл?
у меня подобная реакция была ))), Писал про это в теме с обсуждением wanna cry

 

Skype Click to Call - советую удалить.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-226714231-3193107914-2615444026-1000\...\MountPoints2: F - F:\Lenovo_Suite.exe
    HKU\S-1-5-21-226714231-3193107914-2615444026-1000\...\MountPoints2: {006f5d65-3191-11e6-9386-6cf0492c29b6} - F:\Lenovo_Suite.exe
    HKU\S-1-5-21-226714231-3193107914-2615444026-1000\...\MountPoints2: {78dff88f-ca70-11e5-9126-6cf0492c29b6} - F:\Lenovo_Suite.exe
    HKU\S-1-5-21-226714231-3193107914-2615444026-1000\...\MountPoints2: {791daf2b-fb64-11e6-8d84-6cf0492c29b6} - F:\Lenovo_Suite.exe
    GroupPolicy: Restriction ? <======= ATTENTION
    GroupPolicy\User: Restriction ? <======= ATTENTION
    GroupPolicyScripts: Restriction <======= ATTENTION
    Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    Toolbar: HKU\S-1-5-21-226714231-3193107914-2615444026-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    Toolbar: HKU\S-1-5-21-226714231-3193107914-2615444026-1000 -> No Name - {A13C2648-91D4-4BF3-BC6D-0079707C4389} -  No File
    Toolbar: HKU\S-1-5-21-226714231-3193107914-2615444026-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
    FF Extension: (SuperMegaBest.com) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2014-07-04] [not signed]
    FF Extension: (Поиск@Mail.Ru) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-05-13]
    FF Extension: (Спутник @Mail.Ru) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2017-05-13] [not signed]
    FF Extension: (Desktopy) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{71238372-3743-33ab-8a9f-93722af74c97} [2017-05-13] [not signed]
    FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-05-13]
    FF Extension: (Quick Searcher) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2017-05-13] [not signed]
    FF SearchPlugin: C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml [2017-03-02]
    2017-05-13 00:33 - 2014-02-08 15:30 - 00000000 ____D C:\ProgramData\Guard.Mail.Ru
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.[/code]
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Gagik
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • ДанилКО
      От ДанилКО
      report2.logreport1.logCollectionLog-2024.11.07-18.58.zip
    • dogmos
      От dogmos
      Прошу помощи в удалении трояна.
       


      CollectionLog-2024.11.04-13.32.zip
    • Tinore
      От Tinore
      Добрый день! Прошу помощи в удалении HEUR:Trojan.Multi.GenBadur.gena. 
      Антивирус обнаружил вредоносное ПО после перезагрузки. Отправил на лечение, после лечения с перезагрузкой ситуация повторилась и вирус попросту остается.
      В связи с этим, обращаюсь за помощью к Вам. 
      Логи загружаю в соответствии с правилами и ожидаю Вашего ответа
      Спасибо. 
      CollectionLog-2024.11.04-10.27.zip
    • lomosow
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
×
×
  • Создать...