Вирус heur:trojan-ransom.win32.wanna.a

[Katushechka]

Доброй ночи. Компьютер ни с того ни с сего стал выкидывать экраны смерти. Касперский два раза находил файл heur:trojan-ransom.win32.wanna.a (C:\Windows\mssecsvc.exe) и два раза удалял его. 

CollectionLog-2017.06.07-23.29.zip

Изменено 7 июня, 2017 пользователем Katushechka

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Katushechka]

Спасибо за быстрый ответ

FRST64.7z

[thyrex]

https://forum.kasperskyclub.ru/index.php?showtopic=55543прочтите первое сообщение в теме и установите все обновления, включая патч против WannaCry.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-2306731433-174519061-3812324836-1000\...\Run: [BackgroundContainerV3] => "C:\Windows\SysWOW64\Rundll32.exe" "C:\Users\Катюшка\AppData\Local\Cctbplt\BackgroundContainer\BackgroundContainer.dll",DllRun
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://webalta.ru
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://webalta.ru
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/poisk
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/poisk
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://webalta.ru
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://webalta.ru
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/poisk
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/poisk
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://webalta.ru
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://webalta.ru
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/poisk
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/poisk
SearchScopes: HKLM-x32 -> DefaultScope {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2730139
SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2730139
SearchScopes: HKU\S-1-5-21-2306731433-174519061-3812324836-1000 -> DefaultScope {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2730139
SearchScopes: HKU\S-1-5-21-2306731433-174519061-3812324836-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2730139
Toolbar: HKU\S-1-5-21-2306731433-174519061-3812324836-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1443279209&z=c3e7659bcb4591dfd7dd25agdzez9c7o2mbt4edg7e&from=face&uid=HitachiXHDT721032SLA360_STH210MT201G7S201G7SX
FF NewTab: Mozilla\Firefox\Profiles\eb4snbjq.default -> hxxp://www.istartsurf.com/newtab/?type=nt&ts=1443279209&z=c3e7659bcb4591dfd7dd25agdzez9c7o2mbt4edg7e&from=face&uid=HitachiXHDT721032SLA360_STH210MT201G7S201G7SX
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
S4 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X]
S4 wwfd_vt_1_10_0_24; system32\drivers\wwfd_vt_1_10_0_24.sys [X]
Task: {21779128-4042-44DD-A11C-4526FAEAAEE7} - \Soft installer -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:774C075A [112]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:774C075A [112]
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Katushechka]

Здравствуйте еще раз. Обновление MS17-010 я поставила

Fixlog.txt

[thyrex]

Проблема решена?

[Katushechka]

Экран смерти не каждый день появляется, обычно через 4-5 дней, Касперский этот вирус находил примерно в таких же промежутках. То есть для того, чтобы узнать, решена ли проблема, я так понимаю, нужно подождать. Пока все хорошо. Если снова появится, напишу. Спасибо за помощь!

Изменено 8 июня, 2017 пользователем Katushechka

[thyrex]

Не думаю, что экран смерти - это последствия вируса.

 

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Скопируйте содержимое файла в свое следующее сообщение.

[Katushechka]

Компьютеру 7 лет. За всю его работу экран смерти он выдал лишь раз, где-то 5 лет назад. А тут вдруг несколько экранов смерти. И Касперский тут же находит этот вирус. Я здесь порылась на форуме, у одного пользователя такая же проблема была в мае, тот же вирус и экраны смерти. Я поэтому и связала это вместе)

SecurityCheck by glax24 & Severnyj v.1.4.0.50 [06.06.17]

WebSite: www.safezone.cc

DateLog: 08.06.2017 16:46:07

Path starting: C:\Users\Катюшка\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Катюшка

VersionXML: 4.34is-07.06.2017

___________________________________________________________________________

 

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)

Дата установки ОС: 30.12.2009 16:20:50

Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files (x86)\Mozilla Firefox\firefox.exe

Системный диск: C: ФС: [NTFS] Емкость: [97.6 Гб] Занято: [64.4 Гб] Свободно: [33.2 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18015 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Уведомлять о загрузке и установке обновлений

Дата установки обновлений: 2017-06-08 12:36:59

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2003 v.11.0.8173.0

---------------------------- [ Antivirus_WMI ] ----------------------------

Kaspersky Internet Security (включен и обновлен)

---------------------------- [ Firewall_WMI ] -----------------------------

Kaspersky Internet Security (включен)

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Kaspersky Internet Security (включен и обновлен)

Windows Defender (включен и устарел)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Secure Connection v.17.0.0.611

Kaspersky Internet Security v.17.0.0.611

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 9.20 (x64 edition) v.9.20.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

TeamViewer 10 v.10.0.45862 Внимание! Скачать обновления

TeamViewer 10 (TeamViewer) - Служба работает

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.29 v.7.29.102 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.2.0.4 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 25 ActiveX v.25.0.0.171

Adobe Flash Player 25 NPAPI v.25.0.0.171

Adobe Acrobat Reader DC - Russian v.17.009.20044

------------------------------- [ Browser ] -------------------------------

Google Chrome v.58.0.3029.110 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

Mozilla Firefox 53.0.3 (x86 ru) v.53.0.3

------------------ [ AntivirusFirewallProcessServices ] -------------------

Kaspersky Anti-Virus Service 17.0.0 (AVP17.0.0) - Служба работает

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe v.17.0.0.611

klvssbrigde64 (klvssbrigde64) - Служба остановлена

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avpui.exe v.17.0.0.643

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 1.0\ksde.exe v.17.0.0.611

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 1.0\ksdeui.exe v.17.0.0.643

Защитник Windows (WinDefend) - Служба работает

---------------------------- [ UnwantedApps ] -----------------------------

VKMusic 4 v.4.73 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

----------------------------- [ End of Log ] ------------------------------

[thyrex]

Исправляйте указанное

[Katushechka]

Я все обновила, кроме IE, потому что у него и так последняя версия. Не знаю, почему требуется обновление браузера. Еще системник внутри почистила от пыли на всякий случай. Надеюсь, это помогло. Еще раз благодарю за помощь.

Изменено 9 июня, 2017 пользователем Katushechka