Решена Подозрение на вирус WannaCry

[2007-i]

Добрый день!
Компьютер шлет по локальной сети постоянные запросы (типа 0.255.255.255.255),при сканировании avz нашел подозрительные mssecsvr.exe и tasksche.exe
Логи не удалось сохранить т.к. флешка где были логи отказалась работать (после была отформатирована), но остались фото которые прилагаю, надеюсь помогут в решении вопроса.
ServiceCompteurs.exe и Mcal4.exe это файлы программ работающих на этом компьютере.

 

[2007-i]

Сделал лог avz и AdwCleaner. Позже добавлю лог AutoLogger.exe

 

[Sandor]

Здравствуйте!

Позже добавлю лог AutoLogger.exe

Ждём.

 

[2007-i]

Не получается полностью выполнить автологер, пишет что нужно обновить базы а для этого нужен интернет, на этих пк нет выхода во внешку.
Удалось вручную запустить и создать лог HijackThis и все.

 

[Sandor]

Не получается полностью выполнить автологер, пишет что нужно обновить базы

Откуда качали? Надеюсь, из ресурсов?

Системные дата и время нормальные?

 

[2007-i]

Программу автологер скачал только что, я думаю базы не должны быть старые?

 

[2007-i]

Откуда качали? Надеюсь, из ресурсов?

Системные дата и время нормальные?

Скачал с этого сайта, дата и время системное нормальное, синхронизируется с внутренним сервером времени и визуально видно)

 

[Sandor]

Случайно не из архива прямо запускаете? Нужно сначала извлечь, потом запустить.

 

[2007-i]

Случайно не из архива прямо запускаете? Нужно сначала извлечь, потом запустить.

Нет, запускаю конечно после извлечения, создалось папка автологер с утилитами, пробовал и вручную запустить на avz скрипт 2, та же ошибка по поводу баз.

 

[2007-i]

Вот репорт

 

[Sandor]

Я только что проверил, запускается и работает нормально.
Попробуйте так: удалите Автологер и созданную им папку вместе с содержимым. Скачайте (желательно другим браузером, например, IE) еще раз и запустите.

 

[2007-i]

Я только что проверил, запускается и работает нормально.
Попробуйте так: удалите Автологер и созданную им папку вместе с содержимым. Скачайте (желательно другим браузером, например, IE) еще раз и запустите.

Запустилась версия для XP, может проблема в том что embedded семерка стоит. Жду

 

[Sandor]

Нет, версия для ХР - не то. Попробуйте эту версию запустить.

 

[2007-i]

А разве версия для XP не подходит для последующих версий?
На всякий случай скину то что получилось, после обеда сделаю той что вы отправили выше.

 

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\mssecsvr.exe');
 StopService('mssecsvc2.1');
 QuarantineFile('c:\windows\mssecsvr.exe', '');
 QuarantineFile('C:\Windows\tasksche.exe', '');
 DeleteFile('c:\windows\mssecsvr.exe');
 DeleteFile('C:\Windows\tasksche.exe', '');
 DeleteService('mssecsvc2.1');
ExecuteSysClean;
 ExecuteRepair(8);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Для повторной диагностики запустите снова AutoLogger. Пробуйте той версией, на которую давал ссылку выше.
Прикрепите к следующему сообщению свежий CollectionLog.

 

[regist]

1) В FAQ есть скрипт для сбора информации если Автологер не работает, выполнили бы его этих гаданий тут бы не было.
2) @2007-i, не знаю откуда вы скачивали Автологер, но точно не по ссылке из правил, а устаревшую версию. Так что всё остальное следствие этого.

PS. В версии для XP сильно устаревшие версии утилит.

 

[2007-i]

1) В FAQ есть скрипт для сбора информации если Автологер не работает, выполнили бы его этих гаданий тут бы не было.
2) @2007-i, не знаю откуда вы скачивали Автологер, но точно не по ссылке из правил, а устаревшую версию. Так что всё остальное следствие этого.

PS. В версии для XP сильно устаревшие версии утилит.

Скачал вот здесь, версия написана

AutoLogger [regist & Drongo] 2021.03.17​

https://safezone.cc/resources/autologger-regist-drongo.59/download

 

[akok]

Попробуйте, скачать и запустить, еще раз, я проверил, там свежая версия сейчас.

 

[regist]

Попробуйте, скачать и запустить, еще раз, я проверил, там свежая версия сейчас.

Она и до этого была свежая.

Скачал вот здесь, версия написана

AutoLogger [regist & Drongo] 2021.03.17​

https://safezone.cc/resources/autologger-regist-drongo.59/download

Это дата релиза, а файлы внутри обновляются каждый день.
Лучше всего смотреть дату сборки открыв WinRar или другим подобным архиватором (7-zip не показывает) дату сборки, она прямо в правой части архиватором отображается.
Но и без этого по тому что выше выкладывали видно, что у вас версия не

Autologger packing date: 2021-04-14.

А от 29-го марта.
И если будете перекачивать. то сначала удалите свою старую, чтобы накладок не было.

 

[regist]

Она и до этого была свежая.
Это дата релиза, а файлы внутри обновляются каждый день.
Лучше всего смотреть дату сборки открыв WinRar или другим подобным архиватором (7-zip не показывает) дату сборки, она прямо в правой части архиватором отображается.
Но и без этого по тому что выше выкладывали видно, что у вас версия не

А от 29-го марта.
И если будете перекачивать. то сначала удалите свою старую, чтобы накладок не было.

Точней в 7-zip тоже можно посмотреть, но для этого надо нажать кнопку "Информация", а если просто открыть архив, то он не отображает.