На ноутбке появились файлы .no_more_ransom, но Dr.Web ничего не находит.

[AlexAndr11]

Здравствуйте!

Запустили пришедший по email файл, после этого стали появляться файлы с расширением .no_more_ransom.
Компьютер сначала запускался, а потом, после того, как CureIt повис при запуске, при включении стал писать, что ставит обновление и подвисал еле-еле считая проценты. После запуска в защищенном режиме сообщение об установке обновления появляется, но быстро пролетает.

Запущенный в защищенном режим KVRT от 12.02.2018 отправил компьютер в перезагрузку, после обработки некоторой части диска. Лог пуст.

Тестирование всего диска с помощью Dr.Web Livedisk от 08.02.2018 никаких проблем не выявило.

Прилагаю архив AutoLoggera запущенного в защищенном режиме. При запуске, программы периодически жаловались на недостаток прав учетной записи administrator.

Спасибо!

CollectionLog-2018.02.12-21.39.zip

Изменено 12 февраля, 2018 пользователем AlexAndr11

[Sandor]

Здравствуйте!

 

На время лечения удалите все антивирусы и утилиты:

 

AVG

AVG PC TuneUp

AVG Protection

Kaspersky Internet Security

McAfee Parental Controls

После стандартного удаления пройдитесь спец. утилитами:

Чистка системы после некорректного удаления антивируса.

 

Также удалите нежелательное ПО:

Funmoods on IE and Chrome

Затем попробуйте собрать логи в обычном режиме.

[AlexAndr11]

Здравствуйте!

 

После удаления всех антивирусов и утилит, последним был удален Kaspersky, компьютер впал в то же состояние, что и в стандартном режиме: постоянно горит лампочка диска, работа заторможена.  (Хотя находится в защищенном.)
Каждый раз при включении/выключении пролетает надпись, как при установке обновления. В каталоге, где сохраняются обновления, лежит явно исполняемый файл с длинным именем из букв и цифр.
При запуске автоматического сборщика логов, он доходит до того как расписывается, что будет сделано, нажимаешь ОК и ничего не происходит.

Процессы в диспетчере задач выглядят так:
Постоянно работают:
Узел службы: сетевая служба.
Системные прерывания
Система и сжатие памяти

Есть процесс "Проводник", который я точно не запускал.
Каталог процесса ведет в C:\Windows\.

Так же висят замороженные процессы:
Антивирусная утилита AVZ
Автоматический сборщик логов

Да, когда еще компьютер работал нормально в защищенном режиме, попытка удалить обновление KB4023057 приводила к сообщению "Не удалось получить доступ к службе Windows Installer".
(Windows 10 Home)
 

Funmoods уже удалить не удалось. При нажатии на пункт меню "Программы и компоненты" ничего не происходит.

 

Все это происходит в защищенном режиме. В обычном запускать компьютер даже и не пытался.

Изменено 13 февраля, 2018 пользователем AlexAndr11

[Sandor]

То есть, сейчас Вы и в безопасном режиме не можете собрать CollectionLog?

[AlexAndr11]

То есть, сейчас Вы и в безопасном режиме не можете собрать CollectionLog?

 

Да, все что я описал происходит при запуске в безопасном режиме.

 

(Грешу на обновление, которое запускается до запуска системы и при перезагрузке.)

[Sandor]

Пробуйте отключить ПК от сети и собрать логи.

[AlexAndr11]

Пробуйте отключить ПК от сети и собрать логи.

 

В смысле Интернет?

Он и не был подключен к сети.

[Sandor]

Откатить изменения на предыдущую точку восстановления тоже нет возможности?

[AlexAndr11]

Откатить изменения на предыдущую точку восстановления тоже нет возможности?

 

Удивительная история! Запустил Windows в защищенном режиме, с созданием загрузочных логов. И все нормально запустилось, логи снял. Но как я понимаю вируса в них нет.

 

 

(Добавление.)

 

Удалось запустить систему в обычном состоянии.

Запустил сборщик, AVZ повис с надписью:

 

....

Сканирование длилось 00:00:43.

Если у вас есть подозрение на наличие...

Выполняется исследование системы.

 

Логов соответственно нет.

CollectionLog-2018.02.13-18.16.zip

Изменено 13 февраля, 2018 пользователем AlexAndr11

[Sandor]

После стандартного удаления пройдитесь спец. утилитами: Чистка системы после некорректного удаления антивируса.

Вы это проделали? Хвосты по-прежнему видны.

 

удалите нежелательное ПО: Цитата Funmoods on IE and Chrome

Это тоже в списке установленных.

 

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Sony\AppData\Local\Temp\UnKIS.vbs', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

[AlexAndr11]

В безопасном режиме:

Проверил еще раз удаление указанных антивирусов с помощью спец. утилит. Они не находят установленных программ.
До этого утилитами естественно проходил.
Хвосты вижу, единственное, что могу сделать - это дотереть руками.
Funmoods - ошибка при попытке удаления стандартной утилитой, файлы не обнаружены.
Скачал последний KVRT и проверил каталог \WINDOWS и \Users - ничего не обнаружено.

Попытка отправить файл в карантин не удалась:
==
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Users\Sony\AppData\Local\Temp\UnKIS.vbs)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Users\Sony\AppData\Local\Temp\UnKIS.vbs)
 Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Users\Sony\AppData\Local\Temp\UnKIS.vbs)
 Карантин с использованием прямого чтения - ошибка
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
==

Архив получился размером 22 байта и пустой.

Логи были сняты 2 раза в безопасном режиме. Сначала и после вхождения в обычный режим.

Обнаружен файл с расширением .no_more_ransom от 13.02.2018.

В обычном режиме:

Просканирована память KVRT - ничего не найдено.
Несколько раз попытался запустить логгер - AVZ зависает при  Выполнении исследования системы. Может просто отключить этот пункт в скрипте? Все остальное он выполняет.

CollectionLog-2018.02.14-13.49.zip

CollectionLog-2018.02.14-16.50.zip

crypted.zip

[Sandor]

Пробуйте в обычном режиме:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[AlexAndr11]

Вот что получилось.

 

Shortcut.txt

Addition.txt

FRST.txt

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Mega Browse

Далее:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\...\Run: [AvgUi] => "C:\Program Files (x86)\AVG\Framework\Common\avguirna.exe" /lps=fmw
  Toolbar: HKLM - No Name - {001032CB-B0AC-4F2C-A650-AD4B2B26E5DA} -  No File
  2018-02-13 16:28 - 2017-02-25 15:31 - 000000000 ____D C:\ProgramData\Avg
  ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  Task: {85C10991-3CC3-4BA6-994D-0EBCD1E0F92C} - System32\Tasks\AVG EUpdate Task => avgsetupx.exe
  Task: {928406CB-97F0-48ED-BBC8-09258D8034CD} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe
  Task: {E56077A3-4BB0-49B1-9DDA-1EF088D25B54} - System32\Tasks\Antivirus Emergency Update => C:\Program Files (x86)\AVG\Antivirus\AvEmUpdate.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

стали появляться файлы с расширением .no_more_ransom

Заражение точно произошло на этом компьютере? Следов не видно.

[AlexAndr11]

При удаление MegaBrowser было получено сообщение об ошибке и программа удалена из списка установленных.

Fix запустил.
Fixlog прилагаю.

По поводу заражение у меня тоже же возникло подозрение, что вируса нет, но есть 2 момента:

1. Невозможность работы и постоянная загрузка жесткого диска в основном режиме.
2. Файл с расширением .no_more_ransom от 13.02.2018, который я приложил к сообщению чуть раньше.

Сейчас попробую в основном режиме еще раз запустить логгер и FRST.

Прикладываю логи FRST сделанные в основном режиме. AVZ все так же зависает.

 

Да, в основном режиме, диспетчер задач показывает "Загрузка диска - 100%".

Fixlog.txt

Shortcut.txt

Addition.txt

FRST.txt