DOMVZORVU Опубликовано 14 мая, 2017 Share Опубликовано 14 мая, 2017 (изменено) Здравствуйте, сегодня у меня поработал шифровальщик. Как попал ко мне, я так и не понял. Но был момент, когда пришлось отключить антивирус. Зашифрованные файлы имеют расширение .WNCRY После включения антивируса, он приостановил процесс шифрования. Но местами выбивает синий экран. Как эти файлы расшифровать. Объясните пожалуйста и избавить от этого синего экрана. Извиняюсь за не правильность составления темы. И да, сделай утилитой FARBAR проверку, вот логи. логи.rar CollectionLog-2017.05.14-21.26.zip Изменено 14 мая, 2017 пользователем DOMVZORVU Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mark D. Pearlstone Опубликовано 14 мая, 2017 Share Опубликовано 14 мая, 2017 Порядок оформления запроса о помощи Ссылка на комментарий Поделиться на другие сайты More sharing options...
DOMVZORVU Опубликовано 14 мая, 2017 Автор Share Опубликовано 14 мая, 2017 Порядок оформления запроса о помощи Исправил. Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 15 мая, 2017 Share Опубликовано 15 мая, 2017 (изменено) Здравствуйте!- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFileF('C:\ProgramData\frbrwbaqgep103', '*', true, '', 0, 0); DeleteFileMask('C:\ProgramData\frbrwbaqgep103', '*', true); DeleteDirectory('C:\ProgramData\frbrwbaqgep103'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Zona [2017/03/06 17:16:55]-->C:\PROGRA~2\Zona\uninstall.exe Это потенциально нежелательно ПО, советую деинсталировать. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Отметьте галочкой также "Shortcut.txt".Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.Подробнее читайте в этом руководстве. Изменено 15 мая, 2017 пользователем regist Ссылка на комментарий Поделиться на другие сайты More sharing options...
DOMVZORVU Опубликовано 18 мая, 2017 Автор Share Опубликовано 18 мая, 2017 1. https://virusinfo.info/virusdetector/report.php?md5=DBE7FA0CDCD96A6093913F62DA57E4B0 2. Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами файлы были проверены в автоматическом режиме.В антивирусных базах информация по присланным вами файлам отсутствует:00000000.eky00000000.pky00000000.res@WanaDecryptor@.exe.lnkc.wnryf.wnryr.wnrys.wnry/avz00010.dta.Tor.libeay32.dlls.wnry/avz00010.dta.Tor.libevent-2-0-5.dlls.wnry/avz00010.dta.Tor.libevent_core-2-0-5.dlls.wnry/avz00010.dta.Tor.libevent_extra-2-0-5.dlls.wnry/avz00010.dta.Tor.libgcc_s_sjlj-1.dlls.wnry/avz00010.dta.Tor.libssp-0.dlls.wnry/avz00010.dta.Tor.ssleay32.dlls.wnry/avz00010.dta.Tor.tor.exes.wnry/avz00010.dta.Tor.zlib1.dllt.wnryВ следующих файлах обнаружен вредоносный код:@Please_Read_Me@.txt - Trojan-Ransom.Win32.Wanna.aaПеречисленные файлы имеют безопасный формат и не могут быть вредоносными:b.wnryВ следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:m_bulgarian.wnry - UDS:DangerousObject.Multi.Genericm_chinese (simplified).wnry - UDS:DangerousObject.Multi.Genericm_chinese (traditional).wnry - UDS:DangerousObject.Multi.Genericm_croatian.wnry - UDS:DangerousObject.Multi.Genericm_czech.wnry - UDS:DangerousObject.Multi.Genericm_danish.wnry - UDS:DangerousObject.Multi.Genericm_dutch.wnry - UDS:DangerousObject.Multi.Genericm_english.wnry - UDS:DangerousObject.Multi.Genericm_filipino.wnry - UDS:DangerousObject.Multi.Genericm_finnish.wnry - UDS:DangerousObject.Multi.Genericm_french.wnry - UDS:DangerousObject.Multi.Genericm_german.wnry - UDS:DangerousObject.Multi.Genericm_greek.wnry - UDS:DangerousObject.Multi.Genericm_indonesian.wnry - UDS:DangerousObject.Multi.Genericm_italian.wnry - UDS:DangerousObject.Multi.Genericm_japanese.wnry - UDS:DangerousObject.Multi.Genericm_korean.wnry - UDS:DangerousObject.Multi.Genericm_latvian.wnry - UDS:DangerousObject.Multi.Genericm_norwegian.wnry - UDS:DangerousObject.Multi.Genericm_polish.wnry - UDS:DangerousObject.Multi.Genericm_portuguese.wnry - UDS:DangerousObject.Multi.Genericm_romanian.wnry - UDS:DangerousObject.Multi.Genericm_russian.wnry - UDS:DangerousObject.Multi.Genericm_slovak.wnry - UDS:DangerousObject.Multi.Genericm_spanish.wnry - UDS:DangerousObject.Multi.Genericm_swedish.wnry - UDS:DangerousObject.Multi.Genericm_turkish.wnry - UDS:DangerousObject.Multi.Genericm_vietnamese.wnry - UDS:DangerousObject.Multi.GenericФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ 3. ClearLNK-18.05.2017_17-06.log 4.ClearLNK-18.05.2017_17-06.log ЛОГИ.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 18 мая, 2017 Share Опубликовано 18 мая, 2017 IPSEC - сами прописывали? C:\Windows\start.bat Этот файл вам знаком? Если нет, то откройте его блокнотом и напишите здесь его содержимое. Ссылка на комментарий Поделиться на другие сайты More sharing options...
DOMVZORVU Опубликовано 18 мая, 2017 Автор Share Опубликовано 18 мая, 2017 (изменено) C:\Windows\start.bat Этот файл вам знаком? Если нет, то откройте его блокнотом и напишите здесь его содержимое. @ECHO OFF cd %windir% ping 127.0.0.1 secedit /configure /db %windir%\db.sdb del %windir%\db.sdb del %sfxcmd% del %0 IPSEC - не знаком, нечего не прописывал. Изменено 18 мая, 2017 пользователем DOMVZORVU Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 18 мая, 2017 Share Опубликовано 18 мая, 2017 Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3445410858-1381275383-3819013034-1000\...\MountPoints2: {6112b10d-00cd-11e7-b932-38d54716eeb0} - G:\SISetup.exe HKU\S-1-5-21-3445410858-1381275383-3819013034-1000\...\MountPoints2: {726461c7-fd49-11e6-837c-806e6f6e6963} - E:\Bin\Instv2.exe HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{afac0b3b-3ec2-49b5-bee7-014d2a82e7ef} <======= ATTENTION (Restriction - IP) EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически.Подробнее читайте в этом руководстве.[/code] Ссылка на комментарий Поделиться на другие сайты More sharing options...
DOMVZORVU Опубликовано 19 мая, 2017 Автор Share Опубликовано 19 мая, 2017 Вот. Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 19 мая, 2017 Share Опубликовано 19 мая, 2017 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212И в будущем не забывайте своевременно обновляться.Раз восстановление системы было включено, то можете, попробовать восстановить файлы из теневых копий. Больше помочь нечем, расшифровки пока нет. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Kent Kent Опубликовано 14 октября, 2017 Share Опубликовано 14 октября, 2017 script ver. 2017.04.09 Используется локализация на русском языке. Второй этап сбора логов запустили в 2017.10.15-01:00:38 D:\сссссс\AutoLogger\ C:\Users\1\AppData\Local\Temp\ Ключи командной строки: HiddenMode=0 Дата последнего обновления = 2017.10.14 Текущая дата = 2017.10.15 Базы актуальны. Работа скрипта продолжится через 20 секунд... Ключ для создания дампов при аварийном завершении программ добавлен. Параметр для тихого создания дампов при аварийном завершении программ добавлен. IEXPLORE.EXE браузер по умолчанию. iexplore.exe завершилось вернув код 259 Сейчас будет выполнено сканирование HiJackThis fork (SZ team). Время запуска 2017.10.15-01:03:14 HijackThis завершилось вернув код 0 Сейчас будет выполнено сканирование RSIT. Время запуска 2017.10.15-01:03:21 RSIT завершилось вернув код 0 Сейчас будет выполнено сканирование Check Browsers LNK. Время запуска 2017.10.15-01:03:31 Check Browsers LNK завершилось вернув код 0 Сканирование Check Browsers LNK завершено. Сейчас логи будут упакованы в архив. Текущее время 2017.10.15-01:03:42 Файл D:\сссссс\AutoLogger\CollectionLog-2017.10.15-01.03\Check_Browsers_LNK.log, результат архивации = 0 Файл D:\сссссс\AutoLogger\CollectionLog-2017.10.15-01.03\HiJackThis.log, результат архивации = 0 Файл D:\сссссс\AutoLogger\CollectionLog-2017.10.15-01.03\info.txt, результат архивации = 0 Файл D:\сссссс\AutoLogger\CollectionLog-2017.10.15-01.03\log.txt, результат архивации = 0 Файл D:\сссссс\AutoLogger\CollectionLog-2017.10.15-01.03\virusinfo_syscheck.zip, результат архивации = 0 Файл D:\сссссс\AutoLogger\CollectionLog-2017.10.15-01.03\virusinfo_syscure.zip, результат архивации = 0 Ключ для создания дампов при аварийном завершении программ удалён. Параметр для тихого создания дампов при аварийном завершении программ удалён. Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 14 октября, 2017 Share Опубликовано 14 октября, 2017 @Kent Kent, не нужно ерунду выкладывать в сообщении Нужна помощь - создавайте свою тему с предварительным выполнением Порядок оформления запроса о помощи Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения