Обнаружен объект: Троянская программа Trojan-Ransom.Win32.Wanna.m.
Касперский security 10 не лечит зараженные объекты
Возникают ошибки
Внутренняя ошибка. Код ошибки: 0xFFFFFFFF
логи которые смог приложить
Printable View
Обнаружен объект: Троянская программа Trojan-Ransom.Win32.Wanna.m.
Касперский security 10 не лечит зараженные объекты
Возникают ошибки
Внутренняя ошибка. Код ошибки: 0xFFFFFFFF
логи которые смог приложить
Уважаемый(ая) [B]no122vav2[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
А логи по правилам удалось сделать? Файл CollectionLog-*.zip есть?
Логи
Скачайте, распакуйте и запустите [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\Users\kab106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk" -> ["C:\Users\kab106\AppData\Local\Amigo\Application\vk.exe" =>> hxxp://r.mail.ru/n137259054]
>>> "C:\Users\kab106\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk" -> ["C:\Users\kab106\AppData\Local\Amigo\Application\vk.exe" =>> hxxp://r.mail.ru/n137259063]
>>> "C:\Users\kab106\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk" -> ["C:\Users\kab106\AppData\Local\Amigo\Application\ok.exe" =>> hxxp://r.mail.ru/n137259061]
>>> "C:\Users\kab106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk" -> ["C:\Users\kab106\AppData\Local\Amigo\Application\ok.exe" =>> hxxp://r.mail.ru/n137259047]
>>> "C:\Users\kab106\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk" -> ["C:\Users\kab106\AppData\Local\Amigo\Application\amigo.exe" =>> --force-fieldtrials=EnforceCTForProblematicRoots/disabled]
>>> "C:\Users\kab106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk" -> ["C:\Users\kab106\AppData\Local\Amigo\Application\amigo.exe" =>> --force-fieldtrials=EnforceCTForProblematicRoots/disabled]
>>> "C:\Users\kab106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Амиго.Музыка.lnk" -> ["C:\Users\kab106\AppData\Local\Amigo\Application\amigo.exe" =>> --app-id=mbipmajmbfjakbcfnjdldckninlnmhoe --force-fieldtrials=EnforceCTForProblematicRoots/disabled]
>>> "C:\Users\kab106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Почта Mail.Ru.lnk" -> ["C:\Users\kab106\AppData\Local\Amigo\Application\amigo.exe" =>> --app-id=pgkcjlfddldjbjedihplepchglcpamne --force-fieldtrials=EnforceCTForProblematicRoots/disabled]
>>> "C:\Users\kab106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\ВКонтакте.lnk" -> ["C:\Users\kab106\AppData\Local\Amigo\Application\amigo.exe" =>> --profile-directory=Default --app-id=blpabnnnpcfijmjhhdihdglfhecjoknn]
>>> "C:\Users\kab106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Одноклассники.lnk" -> ["C:\Users\kab106\AppData\Local\Amigo\Application\amigo.exe" =>> --app-id=jbhbhflenehimkngcjnpeleogniobpnn --force-fieldtrials=EnforceCTForProblematicRoots/disabled]
>>> "C:\Users\stat1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\6a74071c0587e894\Yandex.lnk" -> ["C:\Users\stat1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" =>> --profile-directory=Default]
>>> "C:\Users\kab108s\Documents\Государственный реестр лекарственных средств.lnk" -> ["C:\Program Files (x86)\Opera\opera.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Государственный реестр лекарственных средств.lnk" -> ["C:\Program Files (x86)\Opera\opera.exe"]
>>> "C:\Users\kab106\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk" -> ["C:\Users\kab106\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"]
>>> "C:\Users\kab106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk" -> ["C:\Users\kab106\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"]
>>> "C:\Users\hirprom\Desktop\Yandex.lnk" -> ["C:\Users\hirprom\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"]
>>> "C:\Users\Администратор\Desktop\HP ProLiant Integrated Management Log Viewer.lnk" -> ["C:\Program Files\Compaq\Cpqimlv\cpqimlv.exe"]
>>> "C:\Users\kab206s\Desktop\для участковых медсестер\Ярлык для ProfTub.lnk" -> ["C:\Users\kab206s\Documents\Ывкпфып.doc"]
>>> "C:\Users\kab206s\Desktop\для участковых медсестер\Ярлык для Копия (4) Выписка из амбулаторной карт1.lnk" -> ["E:\Копия (4) Выписка из амбулаторной карт1.docx"]
>>> "C:\Users\kab208s\Desktop\для участковых медсестер\Ярлык для ProfTub.lnk" -> ["C:\Users\kab208s\Documents\Ывкпфып.doc"]
>>> "C:\Users\kab208s\Desktop\для участковых медсестер\Ярлык для Копия (4) Выписка из амбулаторной карт1.lnk" -> ["E:\Копия (4) Выписка из амбулаторной карт1.docx"]
>>> "C:\Users\anes\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain\Uninstall PriceFountain.lnk" -> ["C:\Users\anes\AppData\Local\PriceFountain\uninst.exe" =>> /uninstall]
>>> "C:\Users\kab204s\Desktop\для участковых медсестер\Ярлык для ProfTub.lnk" -> ["C:\Users\kab204s\Documents\Ывкпфып.doc"]
>>> "C:\Users\sed\Desktop\VZR - Ярлык.lnk" -> ["D:\arena\VZR\VZR.exe"]
>>> "C:\Users\anes\Desktop\воеводина\vov\первичка анестезиологов.doc.lnk" -> ["C:\Users\anes\Desktop\Святославна\шаблоны\первичка анестезиологов.doc"]
>>> "C:\Users\anes\Desktop\воеводина\первичка анестезиологов.doc.lnk" -> ["C:\Users\anes\Desktop\Святославна\шаблоны\первичка анестезиологов.doc"]
>>> "C:\Users\miraleev93\Desktop\SDK.lnk" -> ["C:\Program Files\TrafInsp\SDK_RUS.chm"]
>>> "C:\Users\kab108s\Links\Downloads.lnk" -> ["C:\Users\kab108s\Downloads"]
>>> "C:\Users\bolotnikovas\Desktop\ROMViewer - Ярлык.lnk" -> ["C:\Program Files (x86)\LiteManagerFree - Viewer\ROMViewer.exe"]
>>> "C:\Users\Администратор\WINDOWS\ARJ.PIF" -> ["ARJ.EXE"]
>>> "C:\Users\Администратор\WINDOWS\LHA.PIF" -> ["LHA.EXE"]
>>> "C:\Users\Администратор\WINDOWS\PKUNZIP.PIF" -> ["PKUNZIP.EXE"]
>>> "C:\Users\Администратор\WINDOWS\PKZIP.PIF" -> ["PKZIP.EXE"]
>>> "C:\Users\Администратор\WINDOWS\RAR.PIF" -> ["RAR.EXE"]
>>> "C:\Users\Администратор\WINDOWS\UC.PIF" -> ["UC.EXE"]
>>> "C:\Users\Администратор\Desktop\Рабочий стол\11022020\SDK.lnk" -> ["C:\Program Files\TrafInsp\SDK_RUS.chm"]
>>> "C:\Users\kab204s\Desktop\Колинченко Н.Н\Колинченко Н.Н\для участковых медсестер\Ярлык для ProfTub.lnk" -> ["C:\Users\kab204s\Documents\Ывкпфып.doc"]
>>> "C:\Users\dp123s\Desktop\бланки\Наш обмен\ЗАРУБИНА Ж.В\Первичн мед.помощь для обучающ.(проект)\HP System Management Homepage.lnk" -> ["C:\Windows\inetIcon.url"]
>>> "C:\Users\zel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AppCleaner\AppCleaner.lnk" -> ["C:\Program Files (x86)\AppCleaner\Cleaner.Win.exe"]
>>> "C:\Users\zel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AppCleaner\Uninstall.lnk" -> ["C:\Program Files (x86)\AppCleaner\Uninstall.exe"]
>>> "C:\Users\dp124s\Desktop\Наш обмен\ЗАРУБИНА Ж.В\Первичн мед.помощь для обучающ.(проект)\HP System Management Homepage.lnk" -> ["C:\Windows\inetIcon.url"]
>>> "C:\Users\kab208s\Desktop\Колинченко Н.Н\для участковых медсестер\Ярлык для ProfTub.lnk" -> ["C:\Users\kab208s\Documents\Ывкпфып.doc"]
>>> "C:\Users\kab204s\Desktop\Колинченко Н.Н\для участковых медсестер\Ярлык для ProfTub.lnk" -> ["C:\Users\kab204s\Documents\Ывкпфып.doc"]
>>> "C:\Users\kab207s\Desktop\для участковых медсестер\Ярлык для ProfTub.lnk" -> ["C:\Users\kab207s\Documents\Ывкпфып.doc"]
>>> "C:\Users\kab208s\Desktop\Балдина.И.И\Ярлык для ProfTub.lnk" -> ["C:\Users\kab208s\Documents\Ывкпфып.doc"]
>>> "C:\Users\gin3\ООО Кабинет лабораторных - Ярлык.lnk" -> ["C:\Users\gin3\Desktop\ООО Кабинет лабораторных.docx"]
>>> "C:\Users\dp123v\Desktop\Наш обмен\ЗАРУБИНА Ж.В\Первичн мед.помощь для обучающ.(проект)\HP System Management Homepage.lnk" -> ["C:\Windows\inetIcon.url"]
>>> "C:\Users\kab106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Мой Мир.lnk" -> ["C:\Users\kab106\AppData\Local\Amigo\Application\amigo.exe" =>> --app-id=oplpkihnjdodepplnehakffakpgfcpji --force-fieldtrials=EnforceCTForProblematicRoots/disabled]
>>> "C:\Users\kab106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Мини-игры Mail.Ru.lnk" -> ["C:\Users\kab106\AppData\Local\Amigo\Application\amigo.exe" =>> --app-id=eelhkjeciikfclbijaplfgdlnmnpamgk --force-fieldtrials=EnforceCTForProblematicRoots/disabled]
>>> "C:\Users\hir4\Desktop\Хирургия\критерии оценки качества от 2017 г..lnk" -> ["C:\Users\hir4\Downloads\pmz203n-10-5-17.pdf"]
>>> "C:\Users\kab208v\Desktop\мсэк и выписки Маскаева\Балдина.И.И\Ярлык для ProfTub.lnk" -> ["C:\Users\kab208v\Documents\Ывкпфып.doc"]
>>> "C:\Users\kab208v\Desktop\мсэк и выписки Маскаева\Балдина.И.И\Балдина.И.И\Ярлык для ProfTub.lnk" -> ["C:\Users\kab208v\Documents\Ывкпфып.doc"]
>>> "C:\Users\bolotnikovas\Desktop\HP ProLiant Integrated Management Log Viewer.lnk" -> ["C:\Program Files\Compaq\Cpqimlv\cpqimlv.exe"]
>>> "C:\Users\kab208s\Desktop\сан-кур - Ярлык.lnk" -> ["C:\Users\kab208s\Desktop\сан-кур.docx"]
>>> "C:\Users\hirprom\Desktop\Корзина\Булатов Алексей Сергеевич.lnk" -> ["E:\ОбщСекр\ИНФОРМАЦИЯ для ВРАЧЕЙ\МСЭК.doc"]
>>> "C:\Users\hirprom\Desktop\Корзина\вотяков в.в. - Ярлык.lnk" -> ["C:\Users\hirprom\Desktop\вотяков в.в..docx"]
>>> "C:\Users\hirprom\Desktop\Корзина\МСЭК - Ярлык (3).lnk" -> ["C:\Users\hirprom\Desktop\МСЭК\МСЭК Василевская АР.doc"]
>>> "C:\Users\hirprom\Desktop\Новая папка\Коргополова м.и..lnk" -> ["C:\Users\hirprom\Desktop\каб210\Казанцева.docx"]
>>> "C:\Users\hir4\Desktop\Сухова\антирабическая папка\Квартальный отчет 3.doc.lnk" -> ["C:\Users\hir4\Desktop\документы отдела\антирабическая папка\Квартальный отчет по антирабической деятельност.doc"]
>>> "C:\Users\kab210s\Desktop\сан кур карты-2019г\Паршаева.lnk" -> ["C:\Users\kab210s\Desktop\сан кур карты\суслова.doc"]
>>> "C:\Users\hir4\Desktop\Сухова\Ведение историй\Ярлык для Ведение историй.lnk" -> ["C:\Users\hir4\Documents\Ведение историй"]
[/CODE]Отчёт о работе прикрепите.
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\5D77D74ED73B2E398D4C651A065C9511: [URL] = http://superru.net/?q={searchTerms}&utm_medium=cse&utm_source=ffx&utm_campaign=bp&utm_content=11-09 - Google
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: [URL] = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=3E2180C16E74291A&affID=122471&tsp=4944 - Delta Search
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8A0349E9-5932-C082-03A2-591DDE006DBACE7}: [URL] = http://superru.net/?text={searchTerms}&utm_medium=cse&utm_source=ffx&utm_campaign=bp&utm_content=11-09 - Яндекс
O4 - MSConfig\startupreg: CCleaner Smart Cleaning [command] = C:\Program Files\CCleaner\CCleaner64.exe /MONITOR (HKCU) (2020/11/30) (file missing)
O4 - MSConfig\startupreg: GoogleChromeAutoLaunch_ECDD6029C5CCE0A7929A253137E11B62 [command] = C:\Users\Администратор\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --shutdown-if-not-closed-by-system-restart (HKCU) (2021/03/21)
O4 - MSConfig\startupreg: YandexElements [command] = C:\Users\Администратор\AppData\Local\Yandex\Elements\elements.exe\8.14.0.1058\elements64.exe /auto (HKCU) (2018/11/28) (file missing)
O4 - MSConfig\startupreg: agent.desktop [command] = C:\Users\Администратор\AppData\Roaming\Mail.Ru\Agent\bin\magent.exe /startup (HKCU) (2020/11/16) (file missing)
O22 - Task: Восстановление сервиса обновлений Яндекс.Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\21.2.2.101\service_update.exe --repair (file missing)[/code]
У пользователей kab106 и reg3 браузер Amigo по делу установлен?
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.
логи
[QUOTE]Поиск критических уязвимостей
MS17-010: Обновления безопасности для Windows SMB Server
[url]http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu[/url]
Накопительное обновление безопасности для браузера Internet Explorer
[url]http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/10/ie11-windows6.1-kb4525106-x64_9ce6fdbf27b117e63ead59c9721dfb37c634b764.msu[/url]
Накопительное обновление системы безопасности для битов аннулирования ActiveX
[url]https://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=dd7cc36b-bb4e-4548-8d9c-43c6dd6cb78e[/url]
Уязвимость в ядре Windows может допустить повышение уровня полномочий
[url]https://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5e494723-75d9-4245-8895-3fd5be147cf4[/url]
Уязвимость в MSXML делает возможным удаленное выполнение кода
[url]https://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5bc692f6-11a3-423b-90ff-2f599fe6fdd9[/url]
[микропрограмма лечения]> изменен параметр DisableATMFD ключа HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
[url]https://www.catalog.update.microsoft.com/Search.aspx?q=KB2881067[/url]
Для установки этого обновления требуется установить SP3 для Microsoft Office 2007
[url]https://www.catalog.update.microsoft.com/Search.aspx?q=kb2526086[/url]
Обновление для системы безопасности Microsoft Office Word 2007
[url]https://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=a58f32c8-e216-4b89-89a8-6ccfdfa399c5[/url]
Для установки этого обновления требуется установить SP3 для Microsoft Office 2007
[url]https://www.catalog.update.microsoft.com/Search.aspx?q=kb2526086[/url]
Обновление для системы безопасности Microsoft Office Word 2003 Compatibility Pack
[url]https://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=0ea0f80e-1c6b-4e92-9ce0-4b18081bd536[/url]
Уязвимости в Adobe Flash Player для Firefox/Safari/Opera
[url]https://fpdownload.adobe.com/get/flashplayer/latest/help/install_flash_player.exe[/url]
Microsoft Silverlight 5.1.20513.0 устарел. Удалите его или установите новый
[url]https://www.microsoft.com/getsilverlight/handlers/getsilverlight.ashx[/url][/QUOTE]
Устанавливайте обновления по ссылкам, MS17-010 в обязательном порядке, через эту уязвимость и лезут вирусы.
Кстати, проверяйте все компьтеры, ставьте обновления, источник заразы наверняка в вашей сети.
не ставится обновление , винда там полумертвая, не рабает планировщик, не запускается и безопасный, не пробрасываются принтеры, слетела активация. все это решили на 2012 сервер переносить, как бы там это не продолжилось. посмотрел журналы, там годами такая ситуация с вирусами
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
касперский не лечит ничего
пишет ошибка
техподдержка каспера ответила обновить до 11
11 не поддерживает вин хп
Ставьте свежую систему и сразу обновляйте по полной.