Шифровальчик wncry

[iceberg31]

После посещения сервера шифровальчиком wncry (Один компьютер Вы нам восстановили - ОГРОМНОЕ СПАСИБО). Сервер стал работать крайне не стабильно!!! Сервер используется - просто для доменных имён, но хотелось бы, чтобы и он хорошо себя чувствовал.

 

Не получается даже запустить AutoLogger.exe от имени администратора. Пишет: "Не удаётся создать файл D:\01\AutoLogger\AVZ\avz.exe. Отказано в доступе."

 

Просим ещё раз помощи

Изменено 22 сентября, 2017 пользователем iceberg31

[Sandor]

Здравствуйте!

 

Пробуйте так:

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

[iceberg31]

На рабочем столе не смог сохранить, т.к. не видно самого пути рабочего стола. Лог прикладываю.

SERVER_2017-09-22_11-44-15.7z

[Sandor]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.0.10 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.2
  v400c
  BREG
  ;---------command-block---------
  bl 177BDA0C92482DFA2C162A3750932B9C 1011712
  zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LIBEAY32.DLL
  delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LIBEAY32.DLL
  bl 4635935FC972C582632BF45C26BFCB0E 8192
  zoo %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\LSM.EXE
  delall %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\LSM.EXE
  zoo %SystemRoot%\INF\AXPERFLIB\0010\0011\000A\0010\MMS.EXE
  delall %SystemRoot%\INF\AXPERFLIB\0010\0011\000A\0010\MMS.EXE
  zoo %SystemRoot%\INF\AXPERFLIB\0010\0011\000E\0015\MMS.EXE
  delall %SystemRoot%\INF\AXPERFLIB\0010\0011\000E\0015\MMS.EXE
  zoo %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\MMS.EXE
  delall %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\MMS.EXE
  bl CA2F560921B7B8BE1CF555A5A18D54C3 348160
  zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\MSVCR71.DLL
  delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\MSVCR71.DLL
  bl 5023F4C4AAAA1B6E9D992D6BBDCD340B 196608
  zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\SSLEAY32.DLL
  delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\SSLEAY32.DLL
  bl 3F73EBB59EE002FA868DBDFE182174B0 686592
  zoo %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\SSMS.EXE
  delall %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\SSMS.EXE
  zoo %SystemRoot%\FONTS\SVCHOST.EXE
  delall %SystemRoot%\FONTS\SVCHOST.EXE
  zoo %SystemRoot%\FONTS\TASKHOST.EXE
  delall %SystemRoot%\FONTS\TASKHOST.EXE
  bl D1170274B007CD5E0A732DED6C8EED25 685568
  zoo %SystemRoot%\INF\AXPERFLIB\0010\0011\000A\0010\VMMS.EXE
  delall %SystemRoot%\INF\AXPERFLIB\0010\0011\000A\0010\VMMS.EXE
  zoo %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\772D558FCCCB51D618341FCACFC1C2D1\08A53FC415273F2F44D4EAFA1DA56F5FB64157AD
  delall %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\772D558FCCCB51D618341FCACFC1C2D1\08A53FC415273F2F44D4EAFA1DA56F5FB64157AD
  apply
  
  zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LAUNCHER.EXE
  bl 72490564C3F6DE5B7A6437D26D523846 2134056
  addsgn A7679B19919AF4922E8FAE59E43DF6FA84266DAA89711F9011223043F17AE010239CC3E53FBD3BB7DE7F359EFCB6F0A17D7E0CA619DA58AD19855BA4CA6EB12F 8 Tool.Click.38 [DrWeb] 7
  
  zoo %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\SYSTEM\WINLOGON.EXE
  bl AB5F114CAB6D9BE162BEA8DD3D749CD3 169984
  addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6B14A23947E2A3A559D49A21DF99B4616467FBDDCE872D85F39282D77F4D0520F2D73 8 Multi.Generic [Kaspersky] 7
  
  zoo %SystemRoot%\INF\AXPERFLIB\0010\0011\000E\0015\TASKHOSTEX.EXE
  bl 9281F6DFCDFA7B64A5628CD15CEE31AE 685568
  addsgn 1A0E299A5583C58CF42B254E3143FE54A6EF00F6DA7142680018B0BB631698D62317C301BDAE993B5E0DF763C3E03D94F692E4F910D23A3CAEB7A0AC0602A6A1 8 Trojan.Starter.7365 [DrWeb] 7
  
  zoo %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\SPOOLSV.EXE
  bl 2188ADC70BB2AF8EDA4877790616322E 695296
  zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\SETTINGS.EXE
  bl 43A09C049AF7EFFFED4724B17D9421B5 40448
  addsgn 925277DA146AC1CC0B04504E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 RiskTool.MSIL.Sidaweb.j [Kaspersky] 7
  
  zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\LINKS\WINLOGON.EXE
  bl A3B90DF693F63D637CE42E0CEC169DAC 865280
  addsgn 1A54A79A5583338CF42B627DA804DEC9E946303A4536482E0EB7E1ACDB9A5558A86BE75BB59416982846BF61301E7202725D807155DABF96088B9563C7075174 8 Trojan.Win32.Fakeoff.aqn [Kaspersky] 7
  
  
  chklst
  delvir
  
  regt 1
  regt 2
  regt 28
  regt 29
  czoo
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Перезагрузите компьютер вручную.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
• Подробнее читайте в этом руководстве.

Пробуйте собрать CollectionLog с помощью Автологера. Если опять не получится, сделайте повторно лог uVS. Изменено 22 сентября, 2017 пользователем Sandor

[iceberg31]

1. Файл отправил по почте.

2. Автологгер не запускается с той же ошибкой

3. Прикладываю обновлённый лог UVS

SERVER_2017-09-22_12-42-16.7z

[Sandor]

Автологгер не запускается

Антивирус отключаете?

Попробуйте запустить из корня диска C:

[iceberg31]

1. Пробую с диска С. Скрин приложил.

2. Антивирусник теперь вообще не загружается, после перезагрузки (ранее был ESET)

[Sandor]

Антивирусник теперь вообще не загружается

Удалите его по соотв. инструкции - Чистка системы после некорректного удаления антивируса.

 

Пробуйте собрать лог без антивируса.

[iceberg31]

Не помогло! Даже по сети пытаюсь закинуть файл avz.exe - блокирует. Переименовываю в 1avz.exe - пропускает, но базы не позволяет скопировать

[Sandor]

Соберите отчёты этой версией Автологера.

[thyrex]

+ объсните причину появления учетки-клона groupfo