Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирус Wannacry в ПК

Stas_911
 Поделиться

Рекомендуемые сообщения

Stas_911

Stas_911

Опубликовано
Опубликовано

Доброго всем дня! Помогите пожалуйста, после обновления Adobe flash player с офф. сайта вылез банер с вирусом от Wannacry. Пробовал загрузиться в безопасном режиме и с Live CD, банер так и весит, никаких действий выполнить не удается. Операционная система Windows 7x64. Спасибо.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\руслан\AppData\Roaming\Microsoft\Podgdv.exe', '');
 QuarantineFile('C:\Users\руслан\AppData\Roaming\WindowsServices\helper.vbs', '');
 DeleteFile('C:\Users\руслан\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ТОР.lnk');
 DeleteFile('C:\Users\руслан\AppData\Roaming\Microsoft\Podgdv.exe', '32');
 DeleteFile('C:\Users\руслан\AppData\Roaming\WindowsServices\helper.vbs', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Podgdv');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Пробуйте в обычном режиме.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
2017-05-14 00:43 - 2017-05-13 23:42 - 00000933 _____ C:\Users\руслан\Downloads\@Please_Read_Me@.txt
2017-05-14 00:43 - 2017-05-12 02:22 - 00245760 _____ (Microsoft Corporation) C:\Users\руслан\Downloads\@WanaDecryptor@.exe
2017-05-14 00:36 - 2017-05-13 23:42 - 00000933 _____ C:\Users\руслан\AppData\Local\@Please_Read_Me@.txt
2017-05-14 00:36 - 2017-05-13 23:42 - 00000933 _____ C:\Users\руслан\@Please_Read_Me@.txt
2017-05-14 00:36 - 2017-05-13 23:42 - 00000724 _____ C:\Users\руслан\AppData\Local\@WanaDecryptor@.exe.lnk
2017-05-14 00:36 - 2017-05-12 02:22 - 00245760 _____ (Microsoft Corporation) C:\Users\руслан\@WanaDecryptor@.exe
2017-05-14 00:35 - 2017-05-13 23:42 - 00000933 _____ C:\Users\Все пользователи\@Please_Read_Me@.txt
2017-05-14 00:35 - 2017-05-13 23:42 - 00000933 _____ C:\ProgramData\@Please_Read_Me@.txt
2017-05-14 00:35 - 2017-05-12 02:22 - 00245760 _____ (Microsoft Corporation) C:\Users\Все пользователи\@WanaDecryptor@.exe
2017-05-14 00:35 - 2017-05-12 02:22 - 00245760 _____ (Microsoft Corporation) C:\ProgramData\@WanaDecryptor@.exe
2017-05-14 00:33 - 2017-05-13 23:42 - 00000933 _____ C:\@Please_Read_Me@.txt
2017-05-14 00:30 - 2017-05-13 23:42 - 00000933 _____ C:\Users\руслан\Documents\@Please_Read_Me@.txt
2017-05-13 23:42 - 2017-05-31 11:42 - 00000000 ___HD C:\Users\Все пользователи\kbqzwxislzvib471
2017-05-13 23:42 - 2017-05-31 11:42 - 00000000 ___HD C:\ProgramData\kbqzwxislzvib471
2017-05-13 23:42 - 2017-05-16 08:11 - 03514368 ____S (Microsoft Corporation) C:\Windows\tasksche.exe
2017-05-13 23:42 - 2017-05-16 07:57 - 03514368 ____S (Microsoft Corporation) C:\Windows\qeriuwjhrf
2014-09-08 18:50 - 2014-06-24 17:15 - 16104883 _____ (Kaspersky Lab) C:\Users\руслан\AppData\Local\Temp\e0f8c9a3-d9a5-41e3-a820-c217322eeb5c.exe
2016-01-02 11:31 - 2016-01-02 11:31 - 0016688 _____ () C:\Users\руслан\AppData\Local\Temp\nagrest.exe
Task: {4711B4B3-9640-496B-9D58-80064FDBC6A3} - System32\Tasks\{EAE94E27-AE0D-4363-BD0C-8F0A8E5F885E} => pcalua.exe -a C:\Users\руслан\Desktop\tor_update\setup.exe -d C:\Users\руслан\Desktop\tor_update
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Вымогатель и его следы очищены. С расшифровкой помочь не сможем.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

заново установить Windows?

В этом нет необходимости.

 

------------------------------- [ Windows ] -------------------------------

Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен доменный профиль Брандмауэра Windows

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft Silverlight v.4.0.50401.0 Внимание! Скачать обновления

--------------------------- [ AdobeProduction ] ---------------------------

Adobe AIR v.3.2.0.2070 Внимание! Скачать обновления

Adobe Reader X (10.1.0) - Russian v.10.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.

------------------------------- [ Browser ] -------------------------------

Google Chrome v.35.0.1916.153 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

----------------------------- [ EmailClient ] -----------------------------

Windows Live Mail v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.

Почта Windows Live v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.

---------------------------- [ UnwantedApps ] -----------------------------

Google Toolbar for Internet Explorer v.1.0.0 << Скрыта Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

 

 

Установите это обновление обязательно!

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты
Stas_911

Stas_911

Опубликовано
  • Автор
Опубликовано

Выполнил необходимые операции и установил обновление, статью прочел. А что посоветуете сделать с зашифрованными файлами, их все удалить или как?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ferri
      [РЕШЕНО] Обнауржен вирус CAAServieces.exe
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
    • lostintired
      Вирус-майнер CAAServices.exe
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • Aleks yakov
      Вирус шифровальщик kozanostra
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
×
×
  • Создать...