Wanna Decryptor и последствия

[AlexBar]

Вечер добрый!

 

Так же как и многие подвергся атаке, где то около 15:00 дня.Успел локализовать,но так же получил зашифрованные файлы WNCRY,малую часть удалось восстановить с помощью программы Photorec.Не уверен,что до конца избавился,так как появилась другая проблема,уже сегодня вечером,сначала пошли атаки на порт 445 и через несколько секунд,синий экран,закрыл порт через реестр,не помогло,начали выскакивать чаще разные ошибки на синем экране,сейчас зашел через безопасный режим.

 

CollectionLog-2017.05.14-23.17.zip

Часто Касперский находит снова и снова файл: windows\mssecsvc.exe и удаляет как троянскую программу HEUR:Trojan.Multi.Lasso.a.

[regist]

1) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

2) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - MSConfig\startupreg: [DivXMediaServer] C:\Program Files (x86)\DivX\DivX Media Server\DivXMediaServer.exe (file missing) (HKLM) (2013/02/25)
O4-32 - (disabled) HKLM\..\Run-: [Adobe ARM] C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe  (file missing)
O4-32 - (disabled) HKLM\..\Run-: [CTxfiHlp] CTXFIHLP.EXE  (file missing)
O4-32 - (disabled) HKLM\..\Run-: [Wondershare Helper Compact.exe] C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (file missing)
O4-32 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE  (file missing)

 

3)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

[AlexBar]

Сделал,прикрепляю файлы:

 

ClearLNK-15.05.2017_19-59.log

 AdwCleanerS3.txt

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[AlexBar]

Прикрепляю:

AdwCleanerS4.txt

Addition.txt

FRST.txt

Shortcut.txt

[regist]

1)

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

2) Это что у вас в политиках с расширениями файлами? Сами такое прописывали?
 

HKLM Group Policy restriction on software: *.wav.reg <====== ATTENTION
HKLM Group Policy restriction on software: *.mp3.crt <====== ATTENTION
HKLM Group Policy restriction on software: *.rar.psc* <====== ATTENTION
HKLM Group Policy restriction on software: *.gif.vbs <====== ATTENTION
HKLM Group Policy restriction on software: *.pdf.inx <====== ATTENTION
HKLM Group Policy restriction on software: *.jpg.js <====== ATTENTION
HKLM Group Policy restriction on software: *.ppt.shs <====== ATTENTION
HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.xcs <====== ATTENTION
HKLM Group Policy restriction on software: *.txt.pls <====== ATTENTION
HKLM Group Policy restriction on software: C:\Users\Гость.EDRENA-MONSTR\*.adp <====== ATTENTION
HKLM Group Policy restriction on software: *.zip.nsf <====== ATTENTION

...

...

[AlexBar]

нет не прописывал,снова произошла сетевая атака на порт 445, и синий экран куча нулей  d1 и   ссылается на srvnet.sys

[regist]

 

C:\Users\Администратор\Desktop\mbkjlg
C:\Users\Администратор\Desktop\pyi9hi
C:\Users\Администратор\Desktop\hkvjkvb
C:\Users\Администратор\Desktop\jhrffh
C:\Users\Администратор\Desktop\hkvjkvb

Эти папки вам знакомы?

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction <======= ATTENTION
  GroupPolicy\User: Restriction <======= ATTENTION
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  AlternateDataStreams: C:\Users\Администратор\Local Settings:wa [146]
  AlternateDataStreams: C:\Users\Администратор\AppData\Local:wa [146]
  AlternateDataStreams: C:\Users\Администратор\AppData\Local\Application Data:wa [146]
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

 

,снова произошла сетевая атака на порт 445

Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

И в будущем не забывайте своевременно обновляться.

 

 

 

нет не прописывал

Возможно, что-то из защитного софта их прописало. Оставить или удалить? Вреда от них пожалуй нет. Изменено 15 мая, 2017 пользователем regist

[AlexBar]

да папки знакомы,недавние программы: avz и прочее,установил Crypto prevent, может это он с расширениями файлов,что то сделал.

Fixlog.txt

скорее всего Crypto Prevent,поставил на всякий случай от других вирусных шифраторов,

раз нет вреда пусть будет.

Обновление пробовал поставить,результат синий экран,делал бэкап,изначально выключены  службы обновления,так как из за них много ошибок часто возникало,вплоть до отката этих обновлений.

Заметил,что реакция на синий экран возникает в основном из за просмотра видео,через интернет. Собственно WannaCry появился,когда смотрел спокойно себе видео на ютубе

[regist]

 

 

Заметил,что реакция на синий экран возникает в основном из за просмотра видео,через интернет.

возможно тогда с вирусом не связано. Обновление попробуйте поставить из безопасного режима.

 

И сделайте свежие логи FRST, перепроверим.

И восстановление системы у вас выключено, советую включить.

[AlexBar]

Конкретно это обновление дает сбой,и из безопасного режима не ставиться,другие обновления выборочно,кароче угробил систему обновлениями MIcrosoft,даже всеми функциями через Erd commander не восстановил.Переустановил Windows,поставил свежие дрова,частично какие то обновления установились даже и на этом не плохо,но больше не в жизни не буду ставить обновления от MIcrosoft,время дорого.Восстановление было только на не которых дисках,щас включил по лучше.Не успел все поставить,как касперский нашел те же трояны,удалил,но проблема с атаками на порт 445 и синим экраном с ошибкой srvnet.sys осталась.

 

Addition.txt

FRST.txt

Shortcut.txt

[regist]

 

 

но больше не в жизни не буду ставить обновления от MIcrosoft,

тогда будете и дальше регулярно хватать вирусы и шифровальщики. Некоторые похоже даже на своих ошибках не учаться . Ведь именно по этой причине вы заразились и потеряли свои файлы..

 

 

 

Переустановил Windows,

Логи тогда уже бесполезны.

 

 

но проблема с атаками на порт 445 и синим экраном с ошибкой srvnet.sys осталась.

и конечно будет, дыра в системе у вас то осталась. Так что лечить дрявую систему это  сизифов труд. А латать дырки в системе вы не хотите.

[AlexBar]

 

 

Конкретно это обновление дает сбой,и из безопасного режима не ставиться,другие обновления выборочно,кароче угробил систему обновлениями MIcrosoft.

Да как не хочу то?

если обновления не ставятся нормально.

[regist]

Винда как понимаю сборка?

[AlexBar]

Xtreme сборка старая,пора менять, в этом тоже может быть проблема?