Andkit Опубликовано 13 мая, 2017 Опубликовано 13 мая, 2017 Вчера около 13:00 по МСК у меня зашифровались файлы на компьютере! После этого пк перезагрузился и рабочий стол перестал работать, вообще О_о ( судя потом, я понял что там должен был быть баннер ) пришлось аварийно выключить ноут и откатить систему, после этого, я проверил пк на вирусы антивирусной утилитой AdwCleaner а потом Dr Weber Cureit - он нашел только...(прикладываю скрин) Зашифрованные файлы имеют розширение .WNCRY В каждой папке на диску D:\ иметься 2 файла: @Please_Read_Me@.txt ; @WanaDecryptor@.exe (также был зашифрован и рабочий стол, но на диску С:\ только он, насколько пока мне это известно) P.S. Никаких обновлений я пока не устанавливал, и портов не закрывал, жду следующих указаний от вас .....???? CollectionLog-2017.05.13-20.11.zip
regist Опубликовано 13 мая, 2017 Опубликовано 13 мая, 2017 Здравствуйте!1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\life\AppData\Local\Temp\signaturereloaded.zip', ''); QuarantineFileF('C:\ProgramData\njurjtuvi143', '*', true, '', 0, 0); DeleteFile('C:\Users\life\AppData\Local\Temp\signaturereloaded.zip', '32'); ExecuteFile('schtasks.exe', '/delete /TN "SidebarExecute" /F', 0, 15000, true); DeleteFileMask('C:\ProgramData\njurjtuvi143', '*', true); DeleteDirectory('C:\ProgramData\njurjtuvi143'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.2) - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) 3) "Пофиксите" в HijackThis: R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - (no name) - (no URL) O4 - MSConfig\startupfolder: C:^Users^life^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Cloud Mail.Ru.lnk - C:\Users\life\AppData\Local\Mail.Ru\Cloud\Cloud.exe -noballoon (2017/03/27) (file missing) O4 - MSConfig\startupreg: [GUDelayStartup] C:\Program Files (x86)\Glary Utilities 5\StartupManager.exe -delayrun (file missing) (HKCU) (2016/12/11) O8 - Extra context menu item: Скачать все ссылки с помощью IDM - C:\Program Files (x86)\Internet Download Manager\IEGetAll.htm (file missing) O8 - Extra context menu item: Скачать с помощью IDM - C:\Program Files (x86)\Internet Download Manager\IEExt.htm (file missing) O21 - ShellIconOverlayIdentifiers: MailRuCloudIconOverlay0 - {64A9418A-B6B1-4112-B75C-E61633C9A31F} - (no file) O21 - ShellIconOverlayIdentifiers: MailRuCloudIconOverlay1 - {6A2E142B-EA63-433A-AC05-5223CBD26E65} - (no file) O21 - ShellIconOverlayIdentifiers: MailRuCloudIconOverlay2 - {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} - (no file) O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) O21 - ShellIconOverlayIdentifiers: 0YndCase0Sync - {63D48440-63AB-44D0-B323-4731DFCDE9E9} - (no file) O21 - ShellIconOverlayIdentifiers: 0YndCase1Modified - {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} - (no file) O21 - ShellIconOverlayIdentifiers: 0YndCase2Error - {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} - (no file) O21 - ShellIconOverlayIdentifiers: 0YndCase3Shared - {AF8D197E-7022-4c3d-BD88-68AD35C9C169} - (no file) O21-32 - ShellIconOverlayIdentifiers: MailRuCloudIconOverlay0 - {64A9418A-B6B1-4112-B75C-E61633C9A31F} - (no file) O21-32 - ShellIconOverlayIdentifiers: MailRuCloudIconOverlay1 - {6A2E142B-EA63-433A-AC05-5223CBD26E65} - (no file) O21-32 - ShellIconOverlayIdentifiers: MailRuCloudIconOverlay2 - {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} - (no file) O22 - Task (Queued): \Lenovo\Lenovo Customer Feedback Program 64 35 - C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe (file missing) O22 - Task (Ready): \Microsoft\Windows\Media Center\StartRecording - C:\Windows\ehome\ehrec /StartRecording (file missing) O22 - Task (Ready): \Microsoft\Windows\Media Center\mcupdate_scheduled - C:\Windows\ehome\mcupdate -crl -hms -pscn 15 (file missing) 4) файл C:\Windows\System32\drivers\etc\hosts заархивируйте и прикрепите к сообщению. 5) Очень рекомендую пересмотреть список рассашаренных папок. У вас мусорная корзина расшарена 6) Поставьте обновление KB4019263 И в будущем не забывайте своевременно обновляться. 7) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Отметьте галочкой также "Shortcut.txt".Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.Подробнее читайте в этом руководстве.
Andkit Опубликовано 13 мая, 2017 Автор Опубликовано 13 мая, 2017 Здравствуйте regist =) 1) Провел процедуру VirusDetector Результаты проверки онлайн-сервисом VirusDetector здесь: https://virusinfo.info/virusdetector/report.php?md5=CD74E4ADBED8B5111710315D1379177F Далее выполнил ваш скрипт в АВЗ 2) Но вот что странно, файл quarantine.zip пуст! ... 3) Пофиксував данные строки в HikackThis. Все прелестно ( ^ _ ^ ) 4) файл hosts прикладываю =) 5) аааааа Корзину почистил 6) Обновление KB4019263 поставил, на счет обновлений, то постараюсь обновляться чаще ;-) 6) FRST64 скачал, файлы прикладываю ( ^ ^ ) hosts.zip Addition.txt FRST.txt Shortcut.txt
regist Опубликовано 14 мая, 2017 Опубликовано 14 мая, 2017 Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <===== ATTENTION GroupPolicy\User: Restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File] 2017-05-12 18:04 - 2017-05-12 18:04 - 00000933 _____ C:\Users\life\Desktop\@Please_Read_Me@.txt Task: {DCC2EA70-54C0-4DC2-8FAB-481370086946} - \JetBoost_AutoUpdate -> No File <==== ATTENTION ShortcutWithArgument: C:\Users\life\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://umerisa.ru/?utm_source=startlink03&utm_content=8d6bcae84b562519687209f26205934a&utm_term=C781BEAF8DBE29ADC6B26604678823BE&utm_d=20160611" AlternateDataStreams: C:\Program Files\Common Files\Microsoft Shared:bQHvG5Y469Yi3zAuKJFvzSA [2382] AlternateDataStreams: C:\Program Files\Common Files\System:zMX6GiGtqQzil2wn1KOYySn [2288] AlternateDataStreams: C:\ProgramData\Microsoft:3Kv5lc2fgB5T6Q7nnB7rTp [2058] AlternateDataStreams: C:\ProgramData\Microsoft:74xlGycBNR31f55kVGeNfn [2376] AlternateDataStreams: C:\Users\life\Cookies:hdDKPW7VeIM6UbOr80tr46x3 [480] AlternateDataStreams: C:\Users\life\Documents:{2C848322-7882-41E2-AFF6-B060B946FEE9}3 [26] AlternateDataStreams: C:\Users\life\Мои документы:{2C848322-7882-41E2-AFF6-B060B946FEE9}3 [26] AlternateDataStreams: C:\Users\Все пользователи\Microsoft:3Kv5lc2fgB5T6Q7nnB7rTp [2058] AlternateDataStreams: C:\Users\Все пользователи\Microsoft:74xlGycBNR31f55kVGeNfn [2376] AlternateDataStreams: C:\Users\☼☼☼\Cookies:hdDKPW7VeIM6UbOr80tr46x3 [2322] AlternateDataStreams: C:\Users\☼☼☼\Cookies:U3aSv884AQBHDAOWRQibYf [2356] AlternateDataStreams: C:\Users\☼☼☼\Local Settings:mJSklDKbwtgix5plh7gt [2154] AlternateDataStreams: C:\Users\☼☼☼\AppData\Local:mJSklDKbwtgix5plh7gt [2154] AlternateDataStreams: C:\Users\☼☼☼\AppData\Local\Application Data:mJSklDKbwtgix5plh7gt [2154] Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически.Подробнее читайте в этом руководстве.[/code]
Andkit Опубликовано 14 мая, 2017 Автор Опубликовано 14 мая, 2017 Отлично! Скрипт выполнил А вот лог-файл Fixlog.txt
regist Опубликовано 14 мая, 2017 Опубликовано 14 мая, 2017 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Раз восстановление системы было включено, то можете, попробовать восстановить файлы из теневых копий. Больше помочь нечем, расшифровки пока нет. 1 1
Andkit Опубликовано 14 мая, 2017 Автор Опубликовано 14 мая, 2017 (изменено) Хорошо После выполнения данного скрипта...., уязвимости некоторые все же нашлись:-/ думаю это сейчас есть главное, что нужно сделать - это закрыть их! Еще к этому, я закрыл порт 445, как утверждали эксперты на сайте comss.ru видимо он тоже связан с атакой Выражаю большую благодарность ВАМ за помощь, было очень приятно с вами работать =) Удачи вам в будущем ( ^ _ ~ ) Изменено 14 мая, 2017 пользователем Soft поправил форматирование
regist Опубликовано 14 мая, 2017 Опубликовано 14 мая, 2017 Для надежности можете поставить ещё отдельно это обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212 поставить. В теории оно должно входить в то, что дал вам выше, но всё-таки. А если закрыли порт, то должны быть в курсе, то у вас могут быть проблемы с сетевыми устройствами (типа принтеров) или обменов файлов по сети. Так что по мне обновлений достачно.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти