Вирус Wannacry в ПК

[Stas_911]

Доброго всем дня! Помогите пожалуйста, после обновления Adobe flash player с офф. сайта вылез банер с вирусом от Wannacry. Пробовал загрузиться в безопасном режиме и с Live CD, банер так и весит, никаких действий выполнить не удается. Операционная система Windows 7x64. Спасибо.

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[Stas_911]

Удалось запустить ПК в безопасном режиме, файлы приложил.

 

CollectionLog-2017.05.31-12.13.zip

Изменено 31 мая, 2017 пользователем Stas_911

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\руслан\AppData\Roaming\Microsoft\Podgdv.exe', '');
 QuarantineFile('C:\Users\руслан\AppData\Roaming\WindowsServices\helper.vbs', '');
 DeleteFile('C:\Users\руслан\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ТОР.lnk');
 DeleteFile('C:\Users\руслан\AppData\Roaming\Microsoft\Podgdv.exe', '32');
 DeleteFile('C:\Users\руслан\AppData\Roaming\WindowsServices\helper.vbs', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Podgdv');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Пробуйте в обычном режиме.

[Stas_911]

Номер KLAN-6329619234

CollectionLog-2017.05.31-13.38.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Stas_911]

Файл отчета прикреплен.

FRST.txt

Shortcut.txt

Addition.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  2017-05-14 00:43 - 2017-05-13 23:42 - 00000933 _____ C:\Users\руслан\Downloads\@Please_Read_Me@.txt
  2017-05-14 00:43 - 2017-05-12 02:22 - 00245760 _____ (Microsoft Corporation) C:\Users\руслан\Downloads\@WanaDecryptor@.exe
  2017-05-14 00:36 - 2017-05-13 23:42 - 00000933 _____ C:\Users\руслан\AppData\Local\@Please_Read_Me@.txt
  2017-05-14 00:36 - 2017-05-13 23:42 - 00000933 _____ C:\Users\руслан\@Please_Read_Me@.txt
  2017-05-14 00:36 - 2017-05-13 23:42 - 00000724 _____ C:\Users\руслан\AppData\Local\@WanaDecryptor@.exe.lnk
  2017-05-14 00:36 - 2017-05-12 02:22 - 00245760 _____ (Microsoft Corporation) C:\Users\руслан\@WanaDecryptor@.exe
  2017-05-14 00:35 - 2017-05-13 23:42 - 00000933 _____ C:\Users\Все пользователи\@Please_Read_Me@.txt
  2017-05-14 00:35 - 2017-05-13 23:42 - 00000933 _____ C:\ProgramData\@Please_Read_Me@.txt
  2017-05-14 00:35 - 2017-05-12 02:22 - 00245760 _____ (Microsoft Corporation) C:\Users\Все пользователи\@WanaDecryptor@.exe
  2017-05-14 00:35 - 2017-05-12 02:22 - 00245760 _____ (Microsoft Corporation) C:\ProgramData\@WanaDecryptor@.exe
  2017-05-14 00:33 - 2017-05-13 23:42 - 00000933 _____ C:\@Please_Read_Me@.txt
  2017-05-14 00:30 - 2017-05-13 23:42 - 00000933 _____ C:\Users\руслан\Documents\@Please_Read_Me@.txt
  2017-05-13 23:42 - 2017-05-31 11:42 - 00000000 ___HD C:\Users\Все пользователи\kbqzwxislzvib471
  2017-05-13 23:42 - 2017-05-31 11:42 - 00000000 ___HD C:\ProgramData\kbqzwxislzvib471
  2017-05-13 23:42 - 2017-05-16 08:11 - 03514368 ____S (Microsoft Corporation) C:\Windows\tasksche.exe
  2017-05-13 23:42 - 2017-05-16 07:57 - 03514368 ____S (Microsoft Corporation) C:\Windows\qeriuwjhrf
  2014-09-08 18:50 - 2014-06-24 17:15 - 16104883 _____ (Kaspersky Lab) C:\Users\руслан\AppData\Local\Temp\e0f8c9a3-d9a5-41e3-a820-c217322eeb5c.exe
  2016-01-02 11:31 - 2016-01-02 11:31 - 0016688 _____ () C:\Users\руслан\AppData\Local\Temp\nagrest.exe
  Task: {4711B4B3-9640-496B-9D58-80064FDBC6A3} - System32\Tasks\{EAE94E27-AE0D-4363-BD0C-8F0A8E5F885E} => pcalua.exe -a C:\Users\руслан\Desktop\tor_update\setup.exe -d C:\Users\руслан\Desktop\tor_update
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Stas_911]

Лог прикреплен.

Fixlog.txt

[Sandor]

Вымогатель и его следы очищены. С расшифровкой помочь не сможем.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Stas_911]

Выходит все документы пропадут и единственный выход заново установить Windows?

SecurityCheck.txt

[Sandor]

заново установить Windows?

В этом нет необходимости.

 

------------------------------- [ Windows ] -------------------------------

Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен доменный профиль Брандмауэра Windows

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft Silverlight v.4.0.50401.0 Внимание! Скачать обновления

--------------------------- [ AdobeProduction ] ---------------------------

Adobe AIR v.3.2.0.2070 Внимание! Скачать обновления

Adobe Reader X (10.1.0) - Russian v.10.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.

------------------------------- [ Browser ] -------------------------------

Google Chrome v.35.0.1916.153 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

----------------------------- [ EmailClient ] -----------------------------

Windows Live Mail v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.

Почта Windows Live v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.

---------------------------- [ UnwantedApps ] -----------------------------

Google Toolbar for Internet Explorer v.1.0.0 << Скрыта Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

 

 

Установите это обновление обязательно!

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[Stas_911]

Выполнил необходимые операции и установил обновление, статью прочел. А что посоветуете сделать с зашифрованными файлами, их все удалить или как?

[Sandor]

Если есть возможность, отложите их. Не исключено, что появится инструмент для дешифровки в будущем.

[Stas_911]

Все понял. Благодарю Вас за оказанную помощь.