• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Шифровка данных WNCRY. Действия после удаления вируса.

Статус
В этой теме нельзя размещать новые ответы.

Horistca

Новый пользователь
Сообщения
17
Реакции
0
Баллы
11
Здравствуйте! После атаки шифровальщиком,компьютер был проверен антивирусами Dr.Web Cureit, Касперский Internet Security и Virus removal tool. Был обнаружен вирус trojan-ranson.win32.wanna.aa. Не могу разобраться,вроде пишет что при полной проверке обнаружено объектов 200,удалено 0,не вылечено 200. Последующие проверки вирус не нашли. Вирус удален или просто скрылся? Помогите пожалуйста расшифровать данные.
 

Вложения

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
5,010
Баллы
743
Вирус удален или просто скрылся?
Шифровальщика уже нет в системе. Но есть другие заражения, которые сейчас будем удалять:
+
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\users\user\appdata\roaming\pbot', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\user\appdata\roaming\tablacusapp', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\User\AppData\Roaming\PBot\launchall.py', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\TablacusApp\TablacusApp.exe', '');
 DeleteFile('C:\Users\User\AppData\Roaming\PBot\launchall.py', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\TablacusApp\TablacusApp.exe', '32');
 DeleteFileMask('c:\users\user\appdata\roaming\pbot', '*', true);
 DeleteFileMask('c:\users\user\appdata\roaming\tablacusapp', '*', true);
 DeleteDirectory('c:\users\user\appdata\roaming\pbot');
 DeleteDirectory('c:\users\user\appdata\roaming\tablacusapp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PBot','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TablacusApp','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xtcyfvgjri','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять карантин не нужно!

Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению.

Подготовьте лог AdwCleaner.
 
Последнее редактирование:

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
5,010
Баллы
743
Удалите в AdwCleaner все найденные объекты. Лог, который создается после удаления, прикрепите к сообщению.
Вы ни чего не удалили. Прочтите инструкцию внимательнее и переделайте.
+
Выполните скрипт в Farbar Recovery Scan Tool. Лог, который будет создан после выполнения скрипта, прикрепите к сообщению.
Код:
start
CreateRestorePoint:
AlternateDataStreams: C:\ProgramData\TEMP:373E1720 [131]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:373E1720 [131]
MSCONFIG\startupreg: PBot =>
MSCONFIG\startupreg: xtcyfvgjri =>
HKU\S-1-5-21-2361471852-1234916183-999009583-1000\...\MountPoints2: {0034e26a-ec51-11e5-ad53-001e8c66a2ce} - F:\AutoRun.exe
HKU\S-1-5-21-2361471852-1234916183-999009583-1000\...\MountPoints2: {0034e27b-ec51-11e5-ad53-001e8c66a2ce} - F:\AutoRun.exe
HKU\S-1-5-21-2361471852-1234916183-999009583-1000\...\MountPoints2: {5a2eab7f-ec43-11e5-8ec5-001e8c66a2ce} - F:\AutoRun.exe
HKU\S-1-5-21-2361471852-1234916183-999009583-1000\...\MountPoints2: {5a2eab92-ec43-11e5-8ec5-001e8c66a2ce} - F:\AutoRun.exe
HKU\S-1-5-21-2361471852-1234916183-999009583-1000\...\MountPoints2: {8b0f7d86-ec49-11e5-b6c8-001e8c66a2ce} - F:\AutoRun.exe
HKU\S-1-5-21-2361471852-1234916183-999009583-1000\...\MountPoints2: {9e787651-ec58-11e5-a0be-001e8c66a2ce} - F:\AutoRun.exe
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ShortcutTarget: Высокоскоростное подключение - Ярлык.lnk ->  (No File)
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Reboot:
end
 

Horistca

Новый пользователь
Сообщения
17
Реакции
0
Баллы
11
Извините,скорее всего не тот файл был прикреплен. Сегодня еще раз провела удаление.
 

Вложения

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
5,010
Баллы
743
Чисто.
+
Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в свой ответ, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.
 

Horistca

Новый пользователь
Сообщения
17
Реакции
0
Баллы
11
Извините,не поняла по каким ссылкам установить обновления. Скажите,а все программы,которыми я пользовалась для чистки от заражений удалять? Как можно восстановить шифрованные данные?
SecurityCheck by glax24 & Severnyj v.1.4.0.49 [15.04.17]
WebSite: www.safezone.cc
DateLog: 21.05.2017 09:56:09
Path starting: C:\Users\User\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: User
VersionXML: 4.26is-20.05.2017
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x86) Ultimate Lang: Russian(0419)
Дата установки ОС: 25.08.2013 09:11:54
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [69.9 Гб] Занято: [48.7 Гб] Свободно: [21.2 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18665
Контроль учётных записей пользователя включен
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2017-05-19 09:57:59
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Internet Security (выключен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Internet Security (отключен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Internet Security (выключен и обновлен)
Windows Defender (включен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Secure Connection v.17.0.0.611
Kaspersky Internet Security v.17.0.0.611
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.40 (32-разрядная) v.5.40.0
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.35 v.7.35.103 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 25 PPAPI v.25.0.0.171
------------------------------- [ Browser ] -------------------------------
Google Chrome v.58.0.3029.110
Mozilla Firefox 53.0.2 (x86 ru) v.53.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera Stable 24.0.1558.61 v.24.0.1558.61 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera Stable 27.0.1689.54 v.27.0.1689.54 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera Stable 35.0.2066.68 v.35.0.2066.68 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera Stable 40.0.2308.62 v.40.0.2308.62 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera Stable 45.0.2552.812 v.45.0.2552.812
Yandex v.17.3.1.840 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files\Google\Chrome\Application\chrome.exe v.58.0.3029.110
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Anti-Virus Service 17.0.0 (AVP17.0.0) - Служба работает
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avp.exe v.17.0.0.611
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 17.0.0\avpui.exe v.17.0.0.643
Защитник Windows (WinDefend) - Служба работает
---------------------------- [ UnwantedApps ] -----------------------------
Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Unity Web Player v.5.3.4f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.0.1.2130 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------
Увидела ссылки.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
5,010
Баллы
743
Извините,не поняла по каким ссылкам установить обновления.
Лог вставили, теперь видите их? Закрывайте уязвимости.
Скажите,а все программы,которыми я пользовалась для чистки от заражений удалять?
В заключительных рекомендациях после лечения сейчас все прочтете.
Как можно восстановить шифрованные данные?
К сожалению пока ни как.

Рекомендации после лечения
 

Horistca

Новый пользователь
Сообщения
17
Реакции
0
Баллы
11
Не могу создать точку восстановления. Как ее создать?
upload_2017-5-21_10-50-17.png
Все сделала. Буду ждать расшифровщика. Спасибо!
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
5,010
Баллы
743
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу