Вирус WanaDecryptor

[Skaut]

Как и многие поcтрадал от действий вируса WanaDecryptor, зашифрованы все файлы на ноутбуке.

 

 

Изменено 14 мая, 2017 пользователем Skaut

[regist]

Порядок оформления запроса о помощи
 

[Skaut]

в приложение автолог

 

CollectionLog-2017.05.14-09.27.zip

[regist]

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

Java 7 Update 55 (64-bit) [20140611]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86417055FF}
Java 7 Update 55 [20140611]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217055FF}

деинсталируйте.

Элементы Яндекса 7.2 для Internet Explorer [20140611]-->MsiExec.exe /X{EE24665C-844A-4489-9F11-70E41F4EE476}

Если не используете, то тоже.

 

Программы/расширения от Mail.ru используете?
 

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Skaut]

Файлы удалил.

Программы раньше использовались сейчас нет. (иногда пролают через архивы, когда супруга что-то скачивает)

Отчеты не могу прикрепить больше одного в сообщении

остальные отчеты

Shortcut.txt

FRST.txt

Addition.txt

ClearLNK-14.05.2017_11-34.log

[regist]

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

[Skaut]

отчет AdwCleaner

AdwCleanerS0.txt

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Затем свежие логи FRST сделайте.

[Skaut]

отчет после очистки

новые логи FRST

AdwCleanerC0.txt

Shortcut.txt

FRST.txt

Addition.txt

[regist]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll [No File]
  FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1210150.dll [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  2017-05-13 11:55 - 2017-05-11 20:13 - 01440054 _____ C:\Users\Света\Desktop\@WanaDecryptor@.bmp
  2017-05-13 11:55 - 2017-05-11 20:13 - 01440054 _____ C:\Users\Default\Desktop\@WanaDecryptor@.bmp
  2017-05-13 11:55 - 2017-05-11 20:13 - 01440054 _____ C:\Users\Default User\Desktop\@WanaDecryptor@.bmp
  2017-05-13 11:34 - 2017-05-13 11:34 - 00980520 ____N C:\Users\Юрист\AppData\Local\IconCache.db.WNCRY
  2017-05-13 11:28 - 2017-05-12 18:52 - 00000933 _____ C:\Users\Юрист\Downloads\@Please_Read_Me@.txt
  2017-05-13 11:26 - 2017-05-12 18:52 - 00000933 _____ C:\Users\Юрист\AppData\Local\@Please_Read_Me@.txt
  2017-05-13 11:26 - 2017-05-12 18:52 - 00000933 _____ C:\Users\Света\Downloads\@Please_Read_Me@.txt
  2017-05-13 11:18 - 2017-05-12 18:52 - 00000933 _____ C:\Users\Света\AppData\Local\@Please_Read_Me@.txt
  2017-05-13 11:18 - 2017-05-12 18:52 - 00000933 _____ C:\Users\Света\@Please_Read_Me@.txt
  2017-05-13 11:17 - 2017-05-12 18:52 - 00000933 _____ C:\Users\@Please_Read_Me@.txt
  2017-05-13 10:19 - 2017-05-13 17:01 - 00000000 ____D C:\a04bebef230a876048
  2017-05-12 18:52 - 2017-05-14 11:34 - 00000000 ___HD C:\ProgramData\xidlqcqw942
  2017-05-12 18:52 - 2017-05-12 18:52 - 00000933 _____ C:\Users\Юрист\Documents\@Please_Read_Me@.txt
  2017-05-12 18:52 - 2017-05-12 18:52 - 00000933 _____ C:\Users\Света\Documents\@Please_Read_Me@.txt
  2017-05-12 18:52 - 2017-05-12 18:52 - 00000933 _____ C:\Users\Света\Desktop\@Please_Read_Me@.txt
  2017-05-13 11:26 - 2017-05-12 18:52 - 0000933 _____ () C:\Users\Юрист\AppData\Local\@Please_Read_Me@.txt
  2015-01-16 23:09 - 2015-01-16 23:09 - 0000920 ____N () C:\Users\Юрист\AppData\Local\TwitchModCfg.txt.WNCRY
  2014-06-11 01:30 - 2014-06-11 01:30 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
  2016-03-25 13:37 - 2016-03-25 13:38 - 48920808 _____ (Mail.Ru) C:\Users\Света\AppData\Local\Temp\AmigoDistrib.exe
  2016-03-25 13:38 - 2016-03-25 13:38 - 4512472 _____ () C:\Users\Света\AppData\Local\Temp\hcv_mailruhomesearch (1).exe
  2016-03-25 13:38 - 2016-03-25 13:38 - 4512472 _____ () C:\Users\Света\AppData\Local\Temp\hcv_mailruhomesearch.exe
  2016-03-25 13:38 - 2016-03-25 13:38 - 4512472 _____ () C:\Users\Света\AppData\Local\Temp\mailruhomesearch.exe
  2016-03-25 13:38 - 2016-03-24 21:52 - 6120664 _____ (Mail.Ru) C:\Users\Света\AppData\Local\Temp\MailRuUpdater.exe
  2015-04-26 14:18 - 2015-04-26 14:18 - 0117992 _____ () C:\Users\Света\AppData\Local\Temp\mediaget-uninstaller.exe
  2016-09-01 22:11 - 2017-04-14 20:21 - 4127960 _____ (Mail.Ru) C:\Users\Света\AppData\Local\Temp\mrutmp.exe
  2015-04-26 14:16 - 2015-04-26 14:16 - 0153920 _____ (Yandex) C:\Users\Света\AppData\Local\Temp\sender.exe
  2016-07-20 11:37 - 2016-07-20 11:37 - 0181544 _____ () C:\Users\Света\AppData\Local\Temp\yandex-downloader.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.[/code]
 

[Skaut]

fixlog

Fixlog.txt

[regist]

Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
И в будущем не забывайте своевременно обновляться.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

Больше помочь нечем, расшифровки пока нет.

 

[Skaut]

Cпасибо!