Решена Получил вирус-шифровальщик WNCRY

Статус
В этой теме нельзя размещать новые ответы.

jeam

Новый пользователь
Сообщения
20
Реакции
4
Здравствуйте!
Судя по всему поймал вирус-шифровальщик: на рабочем столе лежала пара файлов XLS, в дополнение к ним получил пару одноименных файлов с расширением WNCRY. Оригинальные файлы остались не зашифрованными. Провел полное сканирование 360 Total Security, который обнаружил и прибил:
C:\Documents and Settings\All Users\zkffjicsccrleh031\@WanaDecryptor@.exe Win32/Trojan.Multi.daf Исправлено
C:\Documents and Settings\All Users\zkffjicsccrleh031\taskdl.exe Trojan.Generic Исправлено
C:\Documents and Settings\All Users\zkffjicsccrleh031\tasksche.exe Win32/Trojan.Multi.daf Исправлено
C:\Documents and Settings\All Users\zkffjicsccrleh031\taskse.exe Trojan.Generic Исправлено
C:\Documents and Settings\All Users\zkffjicsccrleh031\u.wnry Win32/Trojan.Multi.daf Исправлено
C:\Documents and Settings\All Users\zkffjicsccrleh031\t.wnry Trojan.GenericKD.5057663 Исправлено
НО:
  1. Почему-то перестали качаться обновления: обновления видит, но не качает - 0% загружено.
  2. При установке программ Юзеру не хватает прав Администратора. Юзер на компьютере один, он же был администратор.
  3. При попытке открыть ИЗ ПРОВОДНИКА правой кнопкой мыши "Компьютер ->Управление" возникает окошко "firefox не найден". Из Пуска открывается нормально.
 

Вложения

  • CollectionLog-2017.05.16-00.02.zip
    91.9 KB · Просмотры: 9
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
QuarantineFileF('C:\ProgramData\zkffjicsccrleh031', '*', true, '', 0, 0);
DeleteFile('C:\WINDOWS\mssecsvc.exe', '32');
DeleteService('mssecsvc2.0');
DeleteFileMask('C:\ProgramData\zkffjicsccrleh031', '*', true);
DeleteDirectory('C:\ProgramData\zkffjicsccrleh031');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Спасибо за помощь!
Файл quarantine.zip из папки AVZ отправил через форму.
virusinfo_files положил
Для справки: RGhost тоже ограничил размер файла до 100 Мб.
Загрузка обновлений к сожалению не восстановилась.
 

Вложения

  • CollectionLog-2017.05.16-17.30.zip
    223.4 KB · Просмотры: 3
  • ClearLNK-16.05.2017_17-21.log
    2 KB · Просмотры: 1
Последнее редактирование:
  • Like
Реакции: akok
jeam, 1) На время создания логов антивирус отключали?

2) Установите обновление и в будущем не забывайте обновляться.

3)
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
1) Антивирус отключал
2) Обновление установил ещё 14 мая (Вы присылали аналогичные ссылки в письме)
3) Логи FarBar приложил
С удовольствием обновлюсь, но не имею такой возможности: обновление не работает (см. топик)
 

Вложения

  • Shortcut.txt
    115.9 KB · Просмотры: 1
  • FRST.txt
    84.4 KB · Просмотры: 1
  • Addition.txt
    55.9 KB · Просмотры: 1
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-3124311779-41591173-3113787284-1000\...\MountPoints2: {6d9b8639-5cfa-11e5-a782-00c0df109d63} - I:\setup.exe
    HKU\S-1-5-21-3124311779-41591173-3113787284-1000\...\MountPoints2: {7a84723f-34f7-11e7-a20b-806e6f6e6963} - I:\setup.exe
    HKU\S-1-5-21-3124311779-41591173-3113787284-1000\...\MountPoints2: {832e0b32-3108-11e5-951d-00c0df109d63} - I:\ModmenSetup.exe
    HKU\S-1-5-21-3124311779-41591173-3113787284-1000\...\MountPoints2: {bd7e0225-e2c8-11e5-a234-00c0df109d63} - I:\setup.exe
    HKU\S-1-5-21-3124311779-41591173-3113787284-1000\...\MountPoints2: {bd7e0227-e2c8-11e5-a234-00c0df109d63} - I:\setup.exe
    HKU\S-1-5-21-3124311779-41591173-3113787284-1000\...\MountPoints2: {bdda1ec2-292c-11e5-842b-00c0df109d63} - I:\setup.exe
    GroupPolicy: Restriction <======= ATTENTION
    GroupPolicyScripts: Restriction <======= ATTENTION
    CHR HKU\S-1-5-21-3124311779-41591173-3113787284-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    FF user.js: detected! => C:\Users\Дима\AppData\Roaming\Mozilla\Firefox\Profiles\u74ucvgm.default-1485099367072\user.js [2017-01-30]
    S2 zkffjicsccrleh031; cmd.exe /c "C:\ProgramData\zkffjicsccrleh031\tasksche.exe" [X]
    2016-11-27 11:58 - 2016-11-27 11:58 - 0000110 _____ () C:\Users\Дима\AppData\Roaming\prio.ini
    2016-04-20 16:48 - 2016-09-26 22:45 - 0000132 _____ () C:\Users\Дима\AppData\Roaming\Установки формата Adobe PNG CC
    2015-07-25 20:57 - 2017-05-15 18:25 - 0001456 _____ () C:\Users\Дима\AppData\Local\Adobe Сохранить для Web 13.0 Prefs
    2016-11-30 11:36 - 2016-11-30 11:36 - 0000001 _____ () C:\Users\Дима\AppData\Local\RawCopy.1.10.agreement
    2016-11-30 11:38 - 2016-11-30 23:28 - 0000071 _____ () C:\Users\Дима\AppData\Local\RawCopy.opendialog.dir
    2016-11-30 11:38 - 2016-11-30 23:28 - 0000001 _____ () C:\Users\Дима\AppData\Local\RawCopy.opendialog.filterindex
    2016-11-30 11:38 - 2016-12-02 20:38 - 0000087 _____ () C:\Users\Дима\AppData\Local\RawCopy.sourcedisk.filepath
    2016-11-30 11:37 - 2016-12-02 20:38 - 0000001 _____ () C:\Users\Дима\AppData\Local\RawCopy.sourcedisk.index
    2017-02-22 10:34 - 2017-02-22 10:34 - 0000017 _____ () C:\Users\Дима\AppData\Local\resmon.resmoncfg
    2015-10-28 12:14 - 2015-10-28 12:14 - 0030728 _____ () C:\ProgramData\dxdiag.txt
    2016-03-10 19:28 - 2016-03-10 19:28 - 0004893 _____ () C:\ProgramData\oqztiqep.adk
    
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.[/code]


Просьба для того, чтобы разобраться почему предыдущий архив с логами был не полный, поищите поиском на диске нету ли где файла: HiJackThis.log
 
Файл HiJackThis.log был найден в папке AutoLogger\AutoLogger\RSIT\ - прилагаю.
Лог-файл Fixlog.txt приложил.
 

Вложения

  • Fixlog.txt
    5.9 KB · Просмотры: 1
  • hijackthis.log
    13.2 KB · Просмотры: 0
1)
Файл HiJackThis.log был найден в папке AutoLogger\AutoLogger\RSIT\ - прилагаю.
Это нет тот, а больше нигде нету?

2) Если запустить ..\AutoLogger\HiJackThis то лог нормально создаться?

3)
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

4) Дешифровки пока нет, раз было включено восстановление системы, то можете попробовать это.
 
1) HiJackThis Log больше нигде не нашел.
2) Если запустить ..\AutoLogger\HiJackThis то лог создаётся при нажатии на кнопку Save Log (приложил)
3) AVZ: Поиск критических уязвимостей - Часто используемые уязвимости не обнаружены.

Помогите пожалуйста восстановить загрузчик обновлений Windows, т.к. Secunia второй час (также как Центр обновлений Windows) висит на процессе Loading и дальше ничего не делает.
 

Вложения

  • HiJackThis.log
    34.7 KB · Просмотры: 1
Помогите пожалуйста восстановить загрузчик обновлений Windows, т.к. Secunia второй час (также как Центр обновлений Windows) висит на процессе Loading и дальше ничего не делает.
Создайте тему по этой проблеме в разделе Microsoft Windows 7
 
Большое спасибо за помощь!
Автозагрузка обновлений заработала. Без моего участия.
 
Там на серверах MS были проблемы, видать не справлялись с нагрузкой.
 
Там на серверах MS были проблемы, видать не справлялись с нагрузкой.
Это продолжалось несколько дней. Думаю вряд ли в этом была причина. Скорее помог Ваш скрипт.
 
После лечения компьютер стал безбожно тормозить. С вирусами работал существенно быстрее ;-)
Что посоветуете?
 
Соберите свежий архив CollectionLog, проверим.
 
Собрал, что скажете?
 

Вложения

  • CollectionLog-2017.06.01-09.07.zip
    100.1 KB · Просмотры: 2
Ничего плохого.
Проверьте, в безопасном режиме также тормозит?
 
Безопасный режим априори быстрее, т.к. всё лишнее выключено.
Проверил загрузку СБИС: в безопасном режиме грузится за 14 сек, в обычном - за 3 минуты.
 
Если в безопасном режиме проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу