Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте, поймал вирус на компьютер  с установленный антивирусом Kaspersky Free 17.0.0.611 - Trojan-Ransom.win32.wanna.c антивирус судя по логам удалил данный вирус и поместил его в карантин (довольно много файлов шифровальщика). 

Ключ от платной версии касперского имеется, хочу написать в тех поддержку но посоветоваться у вас. 

Файл ReadMe прикрепил.

 

Имена файлов при этом: P_20161031_100905.jpg.WNCRY

 

Посмотрел более подробно карантин и нашёл в нём следующее:

 

Тоесть в карантине 5 вирусов: 

 

Trojan-Ransom.Win32.Wanna.c папка Хиты в тачку. Лучшая музыка 5\ файл @WanaDecryptor@.exe

Trojan-Ransom.Win32.Fury.fr;

UDS:DangerousObject.Multi.Generic;  папка C:\ProgramData\ogjsbwkyvtj270\ файл taskdl.exe 

HEUR:Trojan.Win32.Generic  папка C:\Users\Саша\AppData\Local\ файл evyzuf.dll

Trojan-Ransom.Win32.Wanna.b папка C:\Windows\ файл qeriuwjhrf

 

Файл карантин.jpg карантин антивируса.

 

При этом теневые фалы копий диска C есть, а вот на диске D таких копий нет.

 

Прошу помочь в расшифровке.

 

CollectionLog-2017.05.13-14.13.zip

post-21847-0-70661900-1494670620_thumb.jpg

@Please_Read_Me@.txt

Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('54EB482');
 StopService('5D962E5');
 QuarantineFile('C:\Windows\TEMP\54EB482.sys', '');
 QuarantineFile('C:\Windows\TEMP\5D962E5.sys', '');
 QuarantineFileF('C:\ProgramData\ogjsbwkyvtj270', '**', true, '', 0, 0);
 ExecuteFile('schtasks.exe', '/delete /TN "Wise Turbo Checker" /F', 0, 15000, true);
 DeleteFileMask('C:\ProgramData\ogjsbwkyvtj270', '*', true);
 DeleteDirectory('C:\ProgramData\ogjsbwkyvtj270');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text=
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D} - yambler - http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text=
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{88CABCE8-A887-4d4f-85EE-FF431B28A887} - yambler - http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text={searchTerms}
R4 - HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - (no name) - (no URL)
O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task (Ready): Wise Turbo Checker - C:\Program Files\Wise\Wise Care 365\WiseTurbo.exe (file missing)
O22 - Task (Ready): \Norton Identity Safe\Norton Error Analyzer - C:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe /analyze (file missing)
O22 - Task (Ready): \Norton Identity Safe\Norton Error Processor - C:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe /submit (file missing)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

Программы/расширения от Mail.ru используете?
 

 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.


+ Windows 7 for 32-bit Service Pack 1

 

И в будущем не забывайте своевременно обновляться.

Ссылка на сообщение
Поделиться на другие сайты

Программы/расширения от Mail.ru используете?

не ответили.

 

+ Поставьте обновление KB4019263

+ - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Ссылка на сообщение
Поделиться на другие сайты

Простите пожалуйста.

Не использую программы от mail.ru

 

Ответ в письме: Re: quarantine.zip [KLAN-6233574010]

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
00000000.eky
00000000.pky
00000000.res
@Please_Read_Me@.txt
@WanaDecryptor@.exe.lnk
c.wnry
f.wnry
r.wnry
s.wnry/avz00010.dta.Tor.libeay32.dll
s.wnry/avz00010.dta.Tor.libevent-2-0-5.dll
s.wnry/avz00010.dta.Tor.libevent_core-2-0-5.dll
s.wnry/avz00010.dta.Tor.libevent_extra-2-0-5.dll
s.wnry/avz00010.dta.Tor.libgcc_s_sjlj-1.dll
s.wnry/avz00010.dta.Tor.libssp-0.dll
s.wnry/avz00010.dta.Tor.ssleay32.dll
s.wnry/avz00010.dta.Tor.tor.exe
s.wnry/avz00010.dta.Tor.zlib1.dll
t.wnry
m_bulgarian.wnry
m_chinese (simplified).wnry
m_chinese (traditional).wnry
m_croatian.wnry
m_czech.wnry
m_danish.wnry
m_dutch.wnry
m_english.wnry
m_filipino.wnry
m_finnish.wnry
m_french.wnry
m_german.wnry
m_greek.wnry
m_indonesian.wnry
m_italian.wnry
m_japanese.wnry
m_korean.wnry
m_latvian.wnry
m_norwegian.wnry
m_polish.wnry
m_portuguese.wnry
m_romanian.wnry
m_russian.wnry
m_slovak.wnry
m_spanish.wnry
m_swedish.wnry
m_turkish.wnry
m_vietnamese.wnry
Новый текстовый документ (8).txt
010.jpg.WNCRY
@Please_Read_Me@_0.txt
A Little Less Conversation.mp3.WNCRY
Новый текстовый документ (8).txt.WNCRY

Перечисленные файлы имеют безопасный формат и не могут быть вредоносными:
b.wnry
010.jpg
карантин.jpg

В следующих файлах обнаружен вредоносный код:
u.wnry - Trojan-Ransom.Win32.Wanna.c

В ходе проверки в автоматическом режиме не удалось распаковать архив. Пожалуйста, пришлите нам пароль, которым защищен ваш архив или создайте новый архив с паролем "infected" (без кавычек).
virus.rar

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

 

Программы/расширения от Mail.ru используете?

не ответили.

+ Поставьте обновление KB4019263
+ - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 


Странно кажется я не тот файл отправил...:( сейчас проверю.

Ссылка на сообщение
Поделиться на другие сайты

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Tools ->Options (Инструменты ->Настройки) отметьте:
    • Сброс политик IE
    • Сброс политик Chrome

    [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.


Ну и само собой жду отчёт ClearLNK.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте, удалил все через программу AdwCleaner, почистил ярлыки в ClearLNK. Логи прикрепил. 

AdwCleanerC0.txt

ClearLNK-14.05.2017_20-03.log

Изменено пользователем Gameframe
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Здравствуйте, простите за долгий ответ в теме.

 

 

А когда антивирус стал считать вирусом вроде как безобидный txt файл?

 

18.05.2017 22.21.38;

Обнаруженный объект (файл) удален;c:\папка\1\@Please_Read_Me@.txt;

c:\папка\1\@Please_Read_Me@.txt;;Trojan-Ransom.Win32.Wanna.aa;

Троянская программа;05/18/2017 22:21:38

 

:)

Addition.txt

FRST.txt

Shortcut.txt

Изменено пользователем Gameframe
Ссылка на сообщение
Поделиться на другие сайты

 

 


А когда антивирус стал считать вирусом вроде как безобидный txt файл?
у меня подобная реакция была ))), Писал про это в теме с обсуждением wanna cry

 

Skype Click to Call - советую удалить.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-226714231-3193107914-2615444026-1000\...\MountPoints2: F - F:\Lenovo_Suite.exe
    HKU\S-1-5-21-226714231-3193107914-2615444026-1000\...\MountPoints2: {006f5d65-3191-11e6-9386-6cf0492c29b6} - F:\Lenovo_Suite.exe
    HKU\S-1-5-21-226714231-3193107914-2615444026-1000\...\MountPoints2: {78dff88f-ca70-11e5-9126-6cf0492c29b6} - F:\Lenovo_Suite.exe
    HKU\S-1-5-21-226714231-3193107914-2615444026-1000\...\MountPoints2: {791daf2b-fb64-11e6-8d84-6cf0492c29b6} - F:\Lenovo_Suite.exe
    GroupPolicy: Restriction ? <======= ATTENTION
    GroupPolicy\User: Restriction ? <======= ATTENTION
    GroupPolicyScripts: Restriction <======= ATTENTION
    Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    Toolbar: HKU\S-1-5-21-226714231-3193107914-2615444026-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    Toolbar: HKU\S-1-5-21-226714231-3193107914-2615444026-1000 -> No Name - {A13C2648-91D4-4BF3-BC6D-0079707C4389} -  No File
    Toolbar: HKU\S-1-5-21-226714231-3193107914-2615444026-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
    FF Extension: (SuperMegaBest.com) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2014-07-04] [not signed]
    FF Extension: (Поиск@Mail.Ru) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-05-13]
    FF Extension: (Спутник @Mail.Ru) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2017-05-13] [not signed]
    FF Extension: (Desktopy) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{71238372-3743-33ab-8a9f-93722af74c97} [2017-05-13] [not signed]
    FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-05-13]
    FF Extension: (Quick Searcher) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2017-05-13] [not signed]
    FF SearchPlugin: C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml [2017-03-02]
    2017-05-13 00:33 - 2014-02-08 15:30 - 00000000 ____D C:\ProgramData\Guard.Mail.Ru
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.[/code]
 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Pupsik228
      От Pupsik228
      Здравствуйте.
      Недавно столкнулся с проблемой. После перезагрузки компьютера касперский жалуется на файл, файл находится в папке ProgramData там он не отображается(но если ввести в поиск название вируса то он виден) я пробовал удалить его антивирусом. и удалить саму папку с вирусом. и в обоих случаях это помогает, но после перезагрузки компьютера вирус восстанавливается, и антивирус снова жалуется на него.
      это будет видно на скриншотах. Надеюсь на вашу помощь)
      P.S. Я смотрел и вроде вирус не нагружает видеокарту и компьютер работает быстро, но все равно волнуюсь.


      CollectionLog-2024.03.25-15.50.zip
    • ryckovry
      От ryckovry
      Здравствуйте!

      Вчера заразила ноут троянами. Просканировала его утилитой Касперского, было найдено 13 вирусов, нажала «Лечить с перезагрузкой». Сканирование после лечения нашло ещё 3 трояна, которых до этого не было в отчёте, и 2 других опасных файла (на фото). Но ноут хотя бы перестал греться и шуметь как сумасшедший, и проц не разгоняется больше до 100. 

      Сегодня просканировала второй раз, Касперский ничего не нашёл. Но я сомневаюсь, что все трояны удалены и обезврежены. Хочу убедиться в этом, но сама не понимаю, как. Скажите, пожалуйста, что нужно сделать?

      Точку восстановления ОС пока не создавала.

      CollectionLog-2024.03.22-12.58.zip
    • grafbender
      От grafbender
      Доброго времени суток. Мой пк тормозит уже продолжительное время. Какого-либо внимания я этому не уделял, так как пользуюсь им редко. Однако, пару дней назад я совершая пробную операцию по покупке крипты, скопировал номер своего кошелька и направил на него деньги. Как оказалось каким то неведомым образом номер кошелька менялся прямо при копировании. Тут я и начал что то подозревать. Просканировав пк утилитой от Dr.Web, мне выдало целый список вирусов среди которых были трояны и btcmine. Только после удаления всех этих файлов, я решился посмотреть в интернете как с этим бороться, и понял что не все так просто. При повторном сканировании как Dr.Web так и Касперским более никаких вирусов не обнаруживается, однако полной уверенности от избавления у меня нету. Подсобите пожалуйста, какие шаги мне необходимо проделать  еще
      P.S. Нельзя назвать меня осторожным пользователем пользователем интернета, поэтому пиратского контента употребляется и употреблялось очень много, то есть торренты в моей жизни присутствуют.
      AV_block_remove_2024.03.12-20.03.log
    • Камиль Махмутянов
      От Камиль Махмутянов
      Доброго дня, антивирус обнаружил вирус HEUR:Trojan.Win64.Miner.gen. несколько раз удалял, но вирус каждый раз восстанавливается, а антивирус его удалить не может. Подскажите пожалуйста как можно решить эту проблему? Большо спасибо!!
      CollectionLog-2024.03.09-00.19.zip
    • Borova
      От Borova
      Прошу помощи , на виндовс 7 пк заразился трояном RenderCraft а также неправильно ведет себя утилита fc.exe , оба процесса запускаются после 30 секунд от включения пк и начинают грузить систему ( и ОЗУ и ЦП )  , RenderCraft работает пару десятков секунд ( примерно 40) и исчезает из процессов ,  а fc.exe стабильно грузит систему никуда не уходит. изначально попробовал решить проблему самостоятельно с помощью KVRT и AV BR ,  но ничего не помогло , в итоге начал искать решение в интернете , нашел только один сайт на этом же форуме где было предоставлено решение от господина Sandor . Начал делать все как в случае с Дамир 95 . 
      Но к сожелению ничего не помогло , (  строго додерживался всех инструкций  ) но без положительного результата. Ни один процес не ушел . ПРОШУ ПОМОГИТЕ !
      Все максимально подробно описать не могу ( имеется в виду мое полное исполнение действий и рекомендаций от Sandor  , не все получалось так как в писал Sandor , к примеру так не вышло если в Farbar Recovery Scan Tool я нажал кнопку исправить и в человека вышло все нормально а в меня выдало ошибку " не удается найти файл fixlist.txt " а автоматически у меня ничего не создало . если сам создам текстовый файл напишу то понятно , что там начнет исправлять и исправит пустоту , ведь там в списке ничего нет , а я не знаю что туда вводить , в итоге исправить ничего не вышло . помогите пожалуйста . 
×
×
  • Создать...