Wanna Decryptor

[Banni-list]

Добрый день

Как и многих  посетил "нежданчиком" Wanna Decryptor вирус вроде бы перестал загружаться (после "комплексной обработки") но вот вопрос: как расшифровать. Обработку вёл  не только Curelt и Removal но и VIPRER с AVZ кто помог - не знаю но с автозагрузки пропал, не загружается, но и файлы не открываются.

•  

Изменено 14 мая, 2017 пользователем Banni-list

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Banni-list]

Порядок оформления запроса о помощи

 Выдаёт ошибку - большой файл (14,5 МБ (15 303 072 байт)) не пролазит(

[Mark D. Pearlstone]

@Banni-list, значит вы загружаете не то, что нужно. Перепроверьте.

[regist]

 

 

Выдаёт ошибку - большой файл (14,5 МБ (15 303 072 байт)) не пролазит(

вы видно сам автологер загружаете, а надо загрузить собранные им логи - архив вида CollectionLog-Дата.zip

[Banni-list]

Нет, просто пытался отправить стандартный скрипт AVZ

CollectionLog-2017.05.15-21.05.zip

Изменено 15 мая, 2017 пользователем Banni-list

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\mssecsvc.exe');
 StopService('mssecsvc2.0');
 QuarantineFile('c:\windows\mssecsvc.exe', '');
 QuarantineFile('C:\ProgramData\rxfmjsdtofibk767\tasksche.exe', '');
 QuarantineFileF('C:\ProgramData\rxfmjsdtofibk767\', '*', true, '', 0, 0);
 DeleteFile('c:\windows\mssecsvc.exe', '32');
 DeleteFile('C:\ProgramData\rxfmjsdtofibk767\tasksche.exe', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MailRuUpdater" /F', 0, 15000, true);
 DeleteService('mssecsvc2.0');
 DeleteService('rxfmjsdtofibk767');
 DeleteFileMask('C:\ProgramData\rxfmjsdtofibk767\', '*', true);
 DeleteDirectory('C:\ProgramData\rxfmjsdtofibk767\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'rxfmjsdtofibk767');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

У вас вирус в данный момент активен, так что советую если есть возможность поотключить все лишние диски от компа.

[Banni-list]

Извиняюсь, только  добрался до интернета(

 

KLAN-6282965681

В следующих файлах обнаружен вредоносный код:

mssecsvc.exe - Trojan-Ransom.Win32.Wanna.m

 

был так же сформирован архив: virusinfo_auto_USER-ПК.zip который запаролен.

[regist]

 

 

был так же сформирован архив: virusinfo_auto_USER-ПК.zip который запаролен.

загрузили его через форму, как просили?

 

Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
И в будущем не забывайте своевременно обновляться.

 

+ жду остальное.