Решена Подозрение на вирус WannaCry

[2007-i]

Версия выше так же потребовала обновленные базы (видимо где то остались части старого AutoLogger) поэтому сделал лог AutoLogger XP. Времени было мало так как машина находится в работе и просто так не остановишь.

Если этих данных будет не достаточно позже придется остановить пк и использовать свежий AutoLogger с предварительной чисткой старых версий (по моему я закидывал на флешку свежую версию с заменой, возможно поэтому остались старые базы).

 

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[2007-i]

Отчеты.

 

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  2021-04-14 11:06 - 2020-04-19 04:20 - 002061938 ____S C:\Windows\tasksche.exe
  2021-04-14 11:06 - 2020-04-19 04:20 - 002061938 ____S C:\Windows\qeriuwjhrf
  FirewallRules: [{4F62ED7B-8523-49BA-A826-343A3738B44F}] => (Allow) LPort=80
  FirewallRules: [{B2D76D69-3E4E-4C3A-84A5-102F38A7E30E}] => (Allow) LPort=8086
  FirewallRules: [{66BD457A-5569-4CF2-8BA0-DAB0D8A02AB9}] => (Allow) LPort=80
  StandardProfile\GloballyOpenPorts: [80:TCP] => Enabled:WebserviceCounters
  Zip: c:\FRST\Quarantine\
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.
На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

 

[2007-i]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):


Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Для повторной диагностики запустите снова AutoLogger. Пробуйте той версией, на которую давал ссылку выше.
Прикрепите к следующему сообщению свежий CollectionLog.

Имя карантина:
2021.04.14_quarantine_17799e4f1623c774ce4feb11dbd5cd7c.7z

 

[Sandor]

Программа создаст лог-файл (Fixlog.txt)

Тоже покажите.

 

[2007-i]

лог-файл

 

[Sandor]

Теперь, если есть возможность, хорошо бы увидеть CollectionLog.zip от актуальной версии Автологера.

 

[2007-i]

Какие действия еще нужны дополнительно для предотвращения повторного заражения?
Если не ошибаюсь разрешён автозапуск с внешних накопителей и автозапуск с сетевых дисков.
Поможет ли отключение автозапуска?

 

[2007-i]

Теперь, если есть возможность, хорошо бы увидеть CollectionLog.zip от актуальной версии Автологера.

Это наверное теперь уже завтра, сейчас не дадут линию останавливать (нужно же выгружать все программы). По возможности сделаю и оставлю в сообщении.

 

[Sandor]

Поможет ли отключение автозапуска?

Не помешает - это точно.

Какие действия еще нужны

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[2007-i]

Сегодня решил проверить этот компьютер который вчера лечили, опять то же самое, те же вирусы, в тех же местах. Сегодня ночью перезагружали его, видать тогда и загрузились, а вирус по локалке скорее всего пришел снова потому что в локальной сети все компьютеры (аналогичное железо) с win7 заражены, а такие же компьютеры с win XP чистые (пока).
Видимо нужно во время лечения отключать их от общей сети и лечить все разом. И потом ставить какую нибудь антивирусную утилиту (антивируса на них нет а ставить официально только с разрешения, а фирма иностранная).
И что интересно с зараженного ПК на флешку никакой авторан не копируется, т.е. этот вирус распространяется у нас только по сети.

 

[Sandor]

Вы не проделали финальные рекомендации, которые показали бы что следует обновить/исправить/закрыть.

Теперь, раз произошло повторное заражение, SecurityCheck всё равно запустите и соберите свежий CollectionLog Автологером.

 

[2007-i]

Да, кстати SecurityCheck.txt

 

[Sandor]

Вот и ответ:
------------------------------- [ Windows ] -------------------------------
Extended support has ended 14.01.2020, Your operating system may be vulnerable to new types of threats
Internet Explorer 11.0.9600.16428 Warning! Download Update
User Account Control disabled (Level 1)
^It is recommended to enable (default): Win+R typing UserAccountControlSettings and Enter^
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Warning! Download Update
HotFix KB3125574 Warning! Download Update
HotFix KB4012212 Warning! Download Update
HotFix KB4499175 Warning! Download Update
HotFix KB4474419 Warning! Download Update
HotFix KB4490628 Warning! Download Update
HotFix KB4539602 Warning! Download Update
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5.1 v.4.5.50938 Warning! Download Update
-------------------------------- [ Arch ] ---------------------------------
7-Zip 16.04 (x64) v.16.04 Warning! Download Update
Uninstall old version and install new one.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC v.17.009.20044 Warning! Download Update
^Please run Acrobat Reader DC and go Help - Check for updates...^

UAC включите обязательно и хотфиксы постарайтесь все установить.

 

[2007-i]

Вы не проделали финальные рекомендации, которые показали бы что следует обновить/исправить/закрыть.

Теперь, раз произошло повторное заражение, SecurityCheck всё равно запустите и соберите свежий CollectionLog Автологером.

Я видел что нужны обновления 7 штук, но установить скачанные вручную (т.к. нет доступа во внешку) не удается.
Например при попытке установить KB4012212 для Windows Embedded Standard 7 завершается такой ошибкой:
Installer encountered an error: 0x80070422
Скорее всего там отключено обновление в сервисах, это я посмотрю после обеда.

 

[2007-i]

Вот и ответ:
------------------------------- [ Windows ] -------------------------------
Extended support has ended 14.01.2020, Your operating system may be vulnerable to new types of threats
Internet Explorer 11.0.9600.16428 Warning! Download Update
User Account Control disabled (Level 1)
^It is recommended to enable (default): Win+R typing UserAccountControlSettings and Enter^
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Warning! Download Update
HotFix KB3125574 Warning! Download Update
HotFix KB4012212 Warning! Download Update
HotFix KB4499175 Warning! Download Update
HotFix KB4474419 Warning! Download Update
HotFix KB4490628 Warning! Download Update
HotFix KB4539602 Warning! Download Update
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5.1 v.4.5.50938 Warning! Download Update
-------------------------------- [ Arch ] ---------------------------------
7-Zip 16.04 (x64) v.16.04 Warning! Download Update
Uninstall old version and install new one.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC v.17.009.20044 Warning! Download Update
^Please run Acrobat Reader DC and go Help - Check for updates...^

UAC включите обязательно и хотфиксы постарайтесь все установить.

Спасибо, буду исправлять.
Потом отпишу результат.

 

[2007-i]

UAC включите обязательно и хотфиксы постарайтесь все установить.

Главное что бы это не повлияло на работу софта которое у нас установлено, это мы узнаем у поставщика ПО.

 

[akok]

Это можно понять только опытным путем. И Установите антивирус корпоративного типа, чтоб можно было пролечить все сразу.

 

[2007-i]

SecurityCheck после обновлений безопасности.
UAC пришлось отключить потом, не давал запускаться автоматом некоторым программам.