Решена WNCRY

Статус
В этой теме нельзя размещать новые ответы.

jeam

Активный пользователь
Сообщения
20
Реакции
4
Баллы
83
Здравствуйте!
Судя по всему поймал вирус-шифровальщик: на рабочем столе лежала пара файлов XLS, в дополнение к ним получил пару одноименных файлов с расширением WNCRY. Оригинальные файлы остались не зашифрованными. Провел полное сканирование 360 Total Security, который обнаружил и прибил:
C:\Documents and Settings\All Users\zkffjicsccrleh031\@WanaDecryptor@.exe Win32/Trojan.Multi.daf Исправлено
C:\Documents and Settings\All Users\zkffjicsccrleh031\taskdl.exe Trojan.Generic Исправлено
C:\Documents and Settings\All Users\zkffjicsccrleh031\tasksche.exe Win32/Trojan.Multi.daf Исправлено
C:\Documents and Settings\All Users\zkffjicsccrleh031\taskse.exe Trojan.Generic Исправлено
C:\Documents and Settings\All Users\zkffjicsccrleh031\u.wnry Win32/Trojan.Multi.daf Исправлено
C:\Documents and Settings\All Users\zkffjicsccrleh031\t.wnry Trojan.GenericKD.5057663 Исправлено
НО:
  1. Почему-то перестали качаться обновления: обновления видит, но не качает - 0% загружено.
  2. При установке программ Юзеру не хватает прав Администратора. Юзер на компьютере один, он же был администратор.
  3. При попытке открыть ИЗ ПРОВОДНИКА правой кнопкой мыши "Компьютер ->Управление" возникает окошко "firefox не найден". Из Пуска открывается нормально.
 

Вложения

  • CollectionLog-2017.05.16-00.02.zip
    91.9 KB · Просмотры: 9

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,175
Реакции
6,341
Баллы
1,098
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
QuarantineFileF('C:\ProgramData\zkffjicsccrleh031', '*', true, '', 0, 0);
DeleteFile('C:\WINDOWS\mssecsvc.exe', '32');
DeleteService('mssecsvc2.0');
DeleteFileMask('C:\ProgramData\zkffjicsccrleh031', '*', true);
DeleteDirectory('C:\ProgramData\zkffjicsccrleh031');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

jeam

Активный пользователь
Сообщения
20
Реакции
4
Баллы
83
Спасибо за помощь!
Файл quarantine.zip из папки AVZ отправил через форму.
virusinfo_files положил
Для справки: RGhost тоже ограничил размер файла до 100 Мб.
Загрузка обновлений к сожалению не восстановилась.
 

Вложения

  • CollectionLog-2017.05.16-17.30.zip
    223.4 KB · Просмотры: 3
  • ClearLNK-16.05.2017_17-21.log
    2 KB · Просмотры: 1
Последнее редактирование:
  • Like
Реакции: akok

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,175
Реакции
6,341
Баллы
1,098
jeam, 1) На время создания логов антивирус отключали?

2) Установите обновление и в будущем не забывайте обновляться.

3)
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

jeam

Активный пользователь
Сообщения
20
Реакции
4
Баллы
83
1) Антивирус отключал
2) Обновление установил ещё 14 мая (Вы присылали аналогичные ссылки в письме)
3) Логи FarBar приложил
С удовольствием обновлюсь, но не имею такой возможности: обновление не работает (см. топик)
 

Вложения

  • Shortcut.txt
    115.9 KB · Просмотры: 1
  • FRST.txt
    84.4 KB · Просмотры: 1
  • Addition.txt
    55.9 KB · Просмотры: 1

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,175
Реакции
6,341
Баллы
1,098
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-3124311779-41591173-3113787284-1000\...\MountPoints2: {6d9b8639-5cfa-11e5-a782-00c0df109d63} - I:\setup.exe
    HKU\S-1-5-21-3124311779-41591173-3113787284-1000\...\MountPoints2: {7a84723f-34f7-11e7-a20b-806e6f6e6963} - I:\setup.exe
    HKU\S-1-5-21-3124311779-41591173-3113787284-1000\...\MountPoints2: {832e0b32-3108-11e5-951d-00c0df109d63} - I:\ModmenSetup.exe
    HKU\S-1-5-21-3124311779-41591173-3113787284-1000\...\MountPoints2: {bd7e0225-e2c8-11e5-a234-00c0df109d63} - I:\setup.exe
    HKU\S-1-5-21-3124311779-41591173-3113787284-1000\...\MountPoints2: {bd7e0227-e2c8-11e5-a234-00c0df109d63} - I:\setup.exe
    HKU\S-1-5-21-3124311779-41591173-3113787284-1000\...\MountPoints2: {bdda1ec2-292c-11e5-842b-00c0df109d63} - I:\setup.exe
    GroupPolicy: Restriction <======= ATTENTION
    GroupPolicyScripts: Restriction <======= ATTENTION
    CHR HKU\S-1-5-21-3124311779-41591173-3113787284-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    FF user.js: detected! => C:\Users\Дима\AppData\Roaming\Mozilla\Firefox\Profiles\u74ucvgm.default-1485099367072\user.js [2017-01-30]
    S2 zkffjicsccrleh031; cmd.exe /c "C:\ProgramData\zkffjicsccrleh031\tasksche.exe" [X]
    2016-11-27 11:58 - 2016-11-27 11:58 - 0000110 _____ () C:\Users\Дима\AppData\Roaming\prio.ini
    2016-04-20 16:48 - 2016-09-26 22:45 - 0000132 _____ () C:\Users\Дима\AppData\Roaming\Установки формата Adobe PNG CC
    2015-07-25 20:57 - 2017-05-15 18:25 - 0001456 _____ () C:\Users\Дима\AppData\Local\Adobe Сохранить для Web 13.0 Prefs
    2016-11-30 11:36 - 2016-11-30 11:36 - 0000001 _____ () C:\Users\Дима\AppData\Local\RawCopy.1.10.agreement
    2016-11-30 11:38 - 2016-11-30 23:28 - 0000071 _____ () C:\Users\Дима\AppData\Local\RawCopy.opendialog.dir
    2016-11-30 11:38 - 2016-11-30 23:28 - 0000001 _____ () C:\Users\Дима\AppData\Local\RawCopy.opendialog.filterindex
    2016-11-30 11:38 - 2016-12-02 20:38 - 0000087 _____ () C:\Users\Дима\AppData\Local\RawCopy.sourcedisk.filepath
    2016-11-30 11:37 - 2016-12-02 20:38 - 0000001 _____ () C:\Users\Дима\AppData\Local\RawCopy.sourcedisk.index
    2017-02-22 10:34 - 2017-02-22 10:34 - 0000017 _____ () C:\Users\Дима\AppData\Local\resmon.resmoncfg
    2015-10-28 12:14 - 2015-10-28 12:14 - 0030728 _____ () C:\ProgramData\dxdiag.txt
    2016-03-10 19:28 - 2016-03-10 19:28 - 0004893 _____ () C:\ProgramData\oqztiqep.adk
    
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.[/code]


Просьба для того, чтобы разобраться почему предыдущий архив с логами был не полный, поищите поиском на диске нету ли где файла: HiJackThis.log
 

jeam

Активный пользователь
Сообщения
20
Реакции
4
Баллы
83
Файл HiJackThis.log был найден в папке AutoLogger\AutoLogger\RSIT\ - прилагаю.
Лог-файл Fixlog.txt приложил.
 

Вложения

  • Fixlog.txt
    5.9 KB · Просмотры: 1
  • hijackthis.log
    13.2 KB · Просмотры: 0

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,175
Реакции
6,341
Баллы
1,098
1)
Файл HiJackThis.log был найден в папке AutoLogger\AutoLogger\RSIT\ - прилагаю.
Это нет тот, а больше нигде нету?

2) Если запустить ..\AutoLogger\HiJackThis то лог нормально создаться?

3)
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

4) Дешифровки пока нет, раз было включено восстановление системы, то можете попробовать это.
 

jeam

Активный пользователь
Сообщения
20
Реакции
4
Баллы
83
1) HiJackThis Log больше нигде не нашел.
2) Если запустить ..\AutoLogger\HiJackThis то лог создаётся при нажатии на кнопку Save Log (приложил)
3) AVZ: Поиск критических уязвимостей - Часто используемые уязвимости не обнаружены.

Помогите пожалуйста восстановить загрузчик обновлений Windows, т.к. Secunia второй час (также как Центр обновлений Windows) висит на процессе Loading и дальше ничего не делает.
 

Вложения

  • HiJackThis.log
    34.7 KB · Просмотры: 1

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,175
Реакции
6,341
Баллы
1,098
Помогите пожалуйста восстановить загрузчик обновлений Windows, т.к. Secunia второй час (также как Центр обновлений Windows) висит на процессе Loading и дальше ничего не делает.
Создайте тему по этой проблеме в разделе Microsoft Windows 7
 

jeam

Активный пользователь
Сообщения
20
Реакции
4
Баллы
83
Большое спасибо за помощь!
Автозагрузка обновлений заработала. Без моего участия.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,175
Реакции
6,341
Баллы
1,098
Там на серверах MS были проблемы, видать не справлялись с нагрузкой.
 

jeam

Активный пользователь
Сообщения
20
Реакции
4
Баллы
83
Там на серверах MS были проблемы, видать не справлялись с нагрузкой.
Это продолжалось несколько дней. Думаю вряд ли в этом была причина. Скорее помог Ваш скрипт.
 

jeam

Активный пользователь
Сообщения
20
Реакции
4
Баллы
83
После лечения компьютер стал безбожно тормозить. С вирусами работал существенно быстрее ;-)
Что посоветуете?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,006
Реакции
2,425
Баллы
743
Соберите свежий архив CollectionLog, проверим.
 

jeam

Активный пользователь
Сообщения
20
Реакции
4
Баллы
83
Собрал, что скажете?
 

Вложения

  • CollectionLog-2017.06.01-09.07.zip
    100.1 KB · Просмотры: 2

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,006
Реакции
2,425
Баллы
743
Ничего плохого.
Проверьте, в безопасном режиме также тормозит?
 

jeam

Активный пользователь
Сообщения
20
Реакции
4
Баллы
83
Безопасный режим априори быстрее, т.к. всё лишнее выключено.
Проверил загрузку СБИС: в безопасном режиме грузится за 14 сек, в обычном - за 3 минуты.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,006
Реакции
2,425
Баллы
743
Если в безопасном режиме проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу