Зашифровал Trojan-Ransom.win32.wanna.c

[Gameframe]

Здравствуйте, поймал вирус на компьютер  с установленный антивирусом Kaspersky Free 17.0.0.611 - Trojan-Ransom.win32.wanna.c антивирус судя по логам удалил данный вирус и поместил его в карантин (довольно много файлов шифровальщика). 

Ключ от платной версии касперского имеется, хочу написать в тех поддержку но посоветоваться у вас. 

Файл ReadMe прикрепил.

 

Имена файлов при этом: P_20161031_100905.jpg.WNCRY

 

Посмотрел более подробно карантин и нашёл в нём следующее:

 

Тоесть в карантине 5 вирусов: 

 

Trojan-Ransom.Win32.Wanna.c папка Хиты в тачку. Лучшая музыка 5\ файл @WanaDecryptor@.exe

Trojan-Ransom.Win32.Fury.fr;

UDS:DangerousObject.Multi.Generic;  папка C:\ProgramData\ogjsbwkyvtj270\ файл taskdl.exe 

HEUR:Trojan.Win32.Generic  папка C:\Users\Саша\AppData\Local\ файл evyzuf.dll

Trojan-Ransom.Win32.Wanna.b папка C:\Windows\ файл qeriuwjhrf

 

Файл карантин.jpg карантин антивируса.

 

При этом теневые фалы копий диска C есть, а вот на диске D таких копий нет.

 

Прошу помочь в расшифровке.

 

CollectionLog-2017.05.13-14.13.zip

@Please_Read_Me@.txt

[regist]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('54EB482');
 StopService('5D962E5');
 QuarantineFile('C:\Windows\TEMP\54EB482.sys', '');
 QuarantineFile('C:\Windows\TEMP\5D962E5.sys', '');
 QuarantineFileF('C:\ProgramData\ogjsbwkyvtj270', '**', true, '', 0, 0);
 ExecuteFile('schtasks.exe', '/delete /TN "Wise Turbo Checker" /F', 0, 15000, true);
 DeleteFileMask('C:\ProgramData\ogjsbwkyvtj270', '*', true);
 DeleteDirectory('C:\ProgramData\ogjsbwkyvtj270');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text=
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D} - yambler - http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text=
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{88CABCE8-A887-4d4f-85EE-FF431B28A887} - yambler - http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text={searchTerms}
R4 - HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - (no name) - (no URL)
O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task (Ready): Wise Turbo Checker - C:\Program Files\Wise\Wise Care 365\WiseTurbo.exe (file missing)
O22 - Task (Ready): \Norton Identity Safe\Norton Error Analyzer - C:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe /analyze (file missing)
O22 - Task (Ready): \Norton Identity Safe\Norton Error Processor - C:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe /submit (file missing)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

Программы/расширения от Mail.ru используете?
 

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

+ Windows 7 for 32-bit Service Pack 1

 

И в будущем не забывайте своевременно обновляться.

[Gameframe]

Здравствуйте, номер KLAN-6233574010

 

Новый лог.

Лог утилиты AdwCleaner

 

CollectionLog-2017.05.13-16.47.zip

AdwCleanerS0.txt

[regist]

Программы/расширения от Mail.ru используете?

не ответили.

 

+ Поставьте обновление KB4019263

+ - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

[Gameframe]

Простите пожалуйста.

Не использую программы от mail.ru

 

Ответ в письме: Re: quarantine.zip [KLAN-6233574010]

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
00000000.eky
00000000.pky
00000000.res
@Please_Read_Me@.txt
@WanaDecryptor@.exe.lnk
c.wnry
f.wnry
r.wnry
s.wnry/avz00010.dta.Tor.libeay32.dll
s.wnry/avz00010.dta.Tor.libevent-2-0-5.dll
s.wnry/avz00010.dta.Tor.libevent_core-2-0-5.dll
s.wnry/avz00010.dta.Tor.libevent_extra-2-0-5.dll
s.wnry/avz00010.dta.Tor.libgcc_s_sjlj-1.dll
s.wnry/avz00010.dta.Tor.libssp-0.dll
s.wnry/avz00010.dta.Tor.ssleay32.dll
s.wnry/avz00010.dta.Tor.tor.exe
s.wnry/avz00010.dta.Tor.zlib1.dll
t.wnry
m_bulgarian.wnry
m_chinese (simplified).wnry
m_chinese (traditional).wnry
m_croatian.wnry
m_czech.wnry
m_danish.wnry
m_dutch.wnry
m_english.wnry
m_filipino.wnry
m_finnish.wnry
m_french.wnry
m_german.wnry
m_greek.wnry
m_indonesian.wnry
m_italian.wnry
m_japanese.wnry
m_korean.wnry
m_latvian.wnry
m_norwegian.wnry
m_polish.wnry
m_portuguese.wnry
m_romanian.wnry
m_russian.wnry
m_slovak.wnry
m_spanish.wnry
m_swedish.wnry
m_turkish.wnry
m_vietnamese.wnry
Новый текстовый документ (8).txt
010.jpg.WNCRY
@Please_Read_Me@_0.txt
A Little Less Conversation.mp3.WNCRY
Новый текстовый документ (8).txt.WNCRY

Перечисленные файлы имеют безопасный формат и не могут быть вредоносными:
b.wnry
010.jpg
карантин.jpg

В следующих файлах обнаружен вредоносный код:
u.wnry - Trojan-Ransom.Win32.Wanna.c

В ходе проверки в автоматическом режиме не удалось распаковать архив. Пожалуйста, пришлите нам пароль, которым защищен ваш архив или создайте новый архив с паролем "infected" (без кавычек).
virus.rar

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

 

Программы/расширения от Mail.ru используете?

не ответили.

+ Поставьте обновление KB4019263
+ - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 

Странно кажется я не тот файл отправил... сейчас проверю.

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Ну и само собой жду отчёт ClearLNK.

[Gameframe]

Здравствуйте, удалил все через программу AdwCleaner, почистил ярлыки в ClearLNK. Логи прикрепил. 

AdwCleanerC0.txt

ClearLNK-14.05.2017_20-03.log

Изменено 14 мая, 2017 пользователем Gameframe

[regist]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Gameframe]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Здравствуйте, простите за долгий ответ в теме.

 

 

А когда антивирус стал считать вирусом вроде как безобидный txt файл?

 

18.05.2017 22.21.38;

Обнаруженный объект (файл) удален;c:\папка\1\@Please_Read_Me@.txt;

c:\папка\1\@Please_Read_Me@.txt;;Trojan-Ransom.Win32.Wanna.aa;

Троянская программа;05/18/2017 22:21:38

 

Addition.txt

FRST.txt

Shortcut.txt

Изменено 24 мая, 2017 пользователем Gameframe

[regist]

 

 

А когда антивирус стал считать вирусом вроде как безобидный txt файл?

у меня подобная реакция была ))), Писал про это в теме с обсуждением wanna cry

 

Skype Click to Call - советую удалить.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-226714231-3193107914-2615444026-1000\...\MountPoints2: F - F:\Lenovo_Suite.exe
  HKU\S-1-5-21-226714231-3193107914-2615444026-1000\...\MountPoints2: {006f5d65-3191-11e6-9386-6cf0492c29b6} - F:\Lenovo_Suite.exe
  HKU\S-1-5-21-226714231-3193107914-2615444026-1000\...\MountPoints2: {78dff88f-ca70-11e5-9126-6cf0492c29b6} - F:\Lenovo_Suite.exe
  HKU\S-1-5-21-226714231-3193107914-2615444026-1000\...\MountPoints2: {791daf2b-fb64-11e6-8d84-6cf0492c29b6} - F:\Lenovo_Suite.exe
  GroupPolicy: Restriction ? <======= ATTENTION
  GroupPolicy\User: Restriction ? <======= ATTENTION
  GroupPolicyScripts: Restriction <======= ATTENTION
  Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  Toolbar: HKU\S-1-5-21-226714231-3193107914-2615444026-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  Toolbar: HKU\S-1-5-21-226714231-3193107914-2615444026-1000 -> No Name - {A13C2648-91D4-4BF3-BC6D-0079707C4389} -  No File
  Toolbar: HKU\S-1-5-21-226714231-3193107914-2615444026-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
  FF Extension: (SuperMegaBest.com) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2014-07-04] [not signed]
  FF Extension: (Поиск@Mail.Ru) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-05-13]
  FF Extension: (Спутник @Mail.Ru) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2017-05-13] [not signed]
  FF Extension: (Desktopy) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{71238372-3743-33ab-8a9f-93722af74c97} [2017-05-13] [not signed]
  FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-05-13]
  FF Extension: (Quick Searcher) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2017-05-13] [not signed]
  FF SearchPlugin: C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml [2017-03-02]
  2017-05-13 00:33 - 2014-02-08 15:30 - 00000000 ____D C:\ProgramData\Guard.Mail.Ru
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.[/code]