Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте, поймал вирус на компьютер  с установленный антивирусом Kaspersky Free 17.0.0.611 - Trojan-Ransom.win32.wanna.c антивирус судя по логам удалил данный вирус и поместил его в карантин (довольно много файлов шифровальщика). 

Ключ от платной версии касперского имеется, хочу написать в тех поддержку но посоветоваться у вас. 

Файл ReadMe прикрепил.

 

Имена файлов при этом: P_20161031_100905.jpg.WNCRY

 

Посмотрел более подробно карантин и нашёл в нём следующее:

 

Тоесть в карантине 5 вирусов: 

 

Trojan-Ransom.Win32.Wanna.c папка Хиты в тачку. Лучшая музыка 5\ файл @WanaDecryptor@.exe

Trojan-Ransom.Win32.Fury.fr;

UDS:DangerousObject.Multi.Generic;  папка C:\ProgramData\ogjsbwkyvtj270\ файл taskdl.exe 

HEUR:Trojan.Win32.Generic  папка C:\Users\Саша\AppData\Local\ файл evyzuf.dll

Trojan-Ransom.Win32.Wanna.b папка C:\Windows\ файл qeriuwjhrf

 

Файл карантин.jpg карантин антивируса.

 

При этом теневые фалы копий диска C есть, а вот на диске D таких копий нет.

 

Прошу помочь в расшифровке.

 

CollectionLog-2017.05.13-14.13.zip

post-21847-0-70661900-1494670620_thumb.jpg

@Please_Read_Me@.txt

Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('54EB482');
 StopService('5D962E5');
 QuarantineFile('C:\Windows\TEMP\54EB482.sys', '');
 QuarantineFile('C:\Windows\TEMP\5D962E5.sys', '');
 QuarantineFileF('C:\ProgramData\ogjsbwkyvtj270', '**', true, '', 0, 0);
 ExecuteFile('schtasks.exe', '/delete /TN "Wise Turbo Checker" /F', 0, 15000, true);
 DeleteFileMask('C:\ProgramData\ogjsbwkyvtj270', '*', true);
 DeleteDirectory('C:\ProgramData\ogjsbwkyvtj270');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text=
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D} - yambler - http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text=
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{88CABCE8-A887-4d4f-85EE-FF431B28A887} - yambler - http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=2e86cd6c21b1f998d18ac259809592e4&text={searchTerms}
R4 - HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - (no name) - (no URL)
O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task (Ready): Wise Turbo Checker - C:\Program Files\Wise\Wise Care 365\WiseTurbo.exe (file missing)
O22 - Task (Ready): \Norton Identity Safe\Norton Error Analyzer - C:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe /analyze (file missing)
O22 - Task (Ready): \Norton Identity Safe\Norton Error Processor - C:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe /submit (file missing)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

Программы/расширения от Mail.ru используете?
 

 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.


+ Windows 7 for 32-bit Service Pack 1

 

И в будущем не забывайте своевременно обновляться.

Ссылка на сообщение
Поделиться на другие сайты

Программы/расширения от Mail.ru используете?

не ответили.

 

+ Поставьте обновление KB4019263

+ - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Ссылка на сообщение
Поделиться на другие сайты

Простите пожалуйста.

Не использую программы от mail.ru

 

Ответ в письме: Re: quarantine.zip [KLAN-6233574010]

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
00000000.eky
00000000.pky
00000000.res
@Please_Read_Me@.txt
@WanaDecryptor@.exe.lnk
c.wnry
f.wnry
r.wnry
s.wnry/avz00010.dta.Tor.libeay32.dll
s.wnry/avz00010.dta.Tor.libevent-2-0-5.dll
s.wnry/avz00010.dta.Tor.libevent_core-2-0-5.dll
s.wnry/avz00010.dta.Tor.libevent_extra-2-0-5.dll
s.wnry/avz00010.dta.Tor.libgcc_s_sjlj-1.dll
s.wnry/avz00010.dta.Tor.libssp-0.dll
s.wnry/avz00010.dta.Tor.ssleay32.dll
s.wnry/avz00010.dta.Tor.tor.exe
s.wnry/avz00010.dta.Tor.zlib1.dll
t.wnry
m_bulgarian.wnry
m_chinese (simplified).wnry
m_chinese (traditional).wnry
m_croatian.wnry
m_czech.wnry
m_danish.wnry
m_dutch.wnry
m_english.wnry
m_filipino.wnry
m_finnish.wnry
m_french.wnry
m_german.wnry
m_greek.wnry
m_indonesian.wnry
m_italian.wnry
m_japanese.wnry
m_korean.wnry
m_latvian.wnry
m_norwegian.wnry
m_polish.wnry
m_portuguese.wnry
m_romanian.wnry
m_russian.wnry
m_slovak.wnry
m_spanish.wnry
m_swedish.wnry
m_turkish.wnry
m_vietnamese.wnry
Новый текстовый документ (8).txt
010.jpg.WNCRY
@Please_Read_Me@_0.txt
A Little Less Conversation.mp3.WNCRY
Новый текстовый документ (8).txt.WNCRY

Перечисленные файлы имеют безопасный формат и не могут быть вредоносными:
b.wnry
010.jpg
карантин.jpg

В следующих файлах обнаружен вредоносный код:
u.wnry - Trojan-Ransom.Win32.Wanna.c

В ходе проверки в автоматическом режиме не удалось распаковать архив. Пожалуйста, пришлите нам пароль, которым защищен ваш архив или создайте новый архив с паролем "infected" (без кавычек).
virus.rar

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

 

Программы/расширения от Mail.ru используете?

не ответили.

+ Поставьте обновление KB4019263
+ - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 


Странно кажется я не тот файл отправил...:( сейчас проверю.

Ссылка на сообщение
Поделиться на другие сайты

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Tools ->Options (Инструменты ->Настройки) отметьте:
    • Сброс политик IE
    • Сброс политик Chrome

    [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.


Ну и само собой жду отчёт ClearLNK.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте, удалил все через программу AdwCleaner, почистил ярлыки в ClearLNK. Логи прикрепил. 

AdwCleanerC0.txt

ClearLNK-14.05.2017_20-03.log

Изменено пользователем Gameframe
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Здравствуйте, простите за долгий ответ в теме.

 

 

А когда антивирус стал считать вирусом вроде как безобидный txt файл?

 

18.05.2017 22.21.38;

Обнаруженный объект (файл) удален;c:\папка\1\@Please_Read_Me@.txt;

c:\папка\1\@Please_Read_Me@.txt;;Trojan-Ransom.Win32.Wanna.aa;

Троянская программа;05/18/2017 22:21:38

 

:)

Addition.txt

FRST.txt

Shortcut.txt

Изменено пользователем Gameframe
Ссылка на сообщение
Поделиться на другие сайты

 

 


А когда антивирус стал считать вирусом вроде как безобидный txt файл?
у меня подобная реакция была ))), Писал про это в теме с обсуждением wanna cry

 

Skype Click to Call - советую удалить.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-226714231-3193107914-2615444026-1000\...\MountPoints2: F - F:\Lenovo_Suite.exe
    HKU\S-1-5-21-226714231-3193107914-2615444026-1000\...\MountPoints2: {006f5d65-3191-11e6-9386-6cf0492c29b6} - F:\Lenovo_Suite.exe
    HKU\S-1-5-21-226714231-3193107914-2615444026-1000\...\MountPoints2: {78dff88f-ca70-11e5-9126-6cf0492c29b6} - F:\Lenovo_Suite.exe
    HKU\S-1-5-21-226714231-3193107914-2615444026-1000\...\MountPoints2: {791daf2b-fb64-11e6-8d84-6cf0492c29b6} - F:\Lenovo_Suite.exe
    GroupPolicy: Restriction ? <======= ATTENTION
    GroupPolicy\User: Restriction ? <======= ATTENTION
    GroupPolicyScripts: Restriction <======= ATTENTION
    Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    Toolbar: HKU\S-1-5-21-226714231-3193107914-2615444026-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    Toolbar: HKU\S-1-5-21-226714231-3193107914-2615444026-1000 -> No Name - {A13C2648-91D4-4BF3-BC6D-0079707C4389} -  No File
    Toolbar: HKU\S-1-5-21-226714231-3193107914-2615444026-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
    FF Extension: (SuperMegaBest.com) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\jid1-n5ARdBzHkUEdAA@jetpack.xpi [2014-07-04] [not signed]
    FF Extension: (Поиск@Mail.Ru) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-05-13]
    FF Extension: (Спутник @Mail.Ru) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2017-05-13] [not signed]
    FF Extension: (Desktopy) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{71238372-3743-33ab-8a9f-93722af74c97} [2017-05-13] [not signed]
    FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-05-13]
    FF Extension: (Quick Searcher) - C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2017-05-13] [not signed]
    FF SearchPlugin: C:\Users\Саша\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml [2017-03-02]
    2017-05-13 00:33 - 2014-02-08 15:30 - 00000000 ____D C:\ProgramData\Guard.Mail.Ru
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.[/code]
 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От badalov971
      Всех приветствую. Скачал троян, ворующий пароли. Этот файл у меня остался на виртуальной машине для проверки.
      Вопрос в том, есть ли инструменты для дешифрования самого троянского вируса? Я хочу узнать информацию о злоумышленнике.
      Спасибо за внимание.
    • От puppy
      Поймал вирус. Вроде как и безобидный, т.к особой траты ресурсов системы я не наблюдал, просто насторожило сообщение Windows Defender. Решил покопаться. Порывшись понял, что вирус точно есть. Защитник виндовс якобы все удалил, но естественно не все так просто. Решил скачать уже знакомый и проверенный мне антивирус Касперского, но почему-то доступ был закрыт. Попробовал другие сайты и понял, что закрыт доступ на сайты почти всех антивирусов(Avast, dr.web, kaspersky, 360 и т.п). Прилагаю файл-репорт rkill. Файл hosts был скрыт. Зашел и удалил более 125 лупбэков(127.0.0.1) на разные форумы и сайты по антивирусам. Далее я зашел на сайт Касперского и скачал exe, но он просто не запускается, пол секунды загрузки и все. Тогда я скачал Dr.Web, он поставился. Сделал полный анализ системы и он нашел 27 ошибок и удалил. Но проблема не решилась. Дальше я запустил kaspersky virus removal tool. Сделал анализ, он нашел еще 3 вируса и удалил. Далее я исследовал систему с помощью него, отчет приложу. Теперь exe антивируса запускается, но пишет Неизвестная ошибка и все(составляя отчет о ошибке). Уже устал биться с вирусом, решил сюда написать.
      Я пробовал даже с помощью новой учетки зайти и там установить, та же песня.
      Кстати, когда я копался нашел, что вирусом была создана учетка john со всеми правами. Ее удалил
      Окажите посильную помощь пожалуйста!
      report.txt Rkill.txt CollectionLog-2021.04.12-11.23.zip
      Сейчас проверил, уже и отчеты об ошибке не составляет установщик Касперского...
    • От Sapfira
      Антивирус обнаружил HEUR:Trojan.Win32.Generic в папке C:\Users\ROYU\AppData\Local\Temp с именем 076e6db4c.exe и предложил удалить, т.к. лечение невозможно. В процессе удаления, обнаружилось ещё Trojan.Multi.GenAutorunReg.a в системной памяти и предложилось лечение. Пока шло удаление и лечение, пропал рабочий стол, но когда компьютер перезагрузился, всё стало нормально.
      После перезагрузки антивирус предложил проверить систему на наличие повреждений, ничего не обнаружилось. Потом прогнала быструю проверку - вирусов нет. В отчётах сказано, что лечение и удаление вирусов прошло успешно (их копии лежат в карантине).
      В общем, вроде бы всё устранилось, но на всякий случай, нужно провериться более детально.
       
      Отчёт:  CollectionLog-2021.04.07-01.12.zip
       
      P.S. на всякий случай ещё почистила папку C:\Users\ROYU\AppData\Local\Temp, но уже после создания отчета.
       
    • От МРусланМ-С
      Добрый день!
      Я занимаюсь администрированием  Сервера Kaspersky Security Center в организации и у нас на большом количестве раб.станций поселился  вирус mem: trojan.win32.sepeh.gen и касперский не может его удалить. Можете ли подсказать как можно удалить этот вирус на всех рабочих станциях?  Прошу помочь чем нибудь

    • От Радибор
      Здравствуйте! зашифровал все файлы , убил доступ к профилям пользователей. Доступа к системе нет.  Может есть лечение файлов
      Венгер.xlsx[honestandhope@qq.com].rar худ мат .xlsx[honestandhope@qq.com].rar
×
×
  • Создать...