Показано с 1 по 7 из 7.

Шифровальщик @WanaDecryptor@ (Trojan-Ransom.Win32.Wanna.m, Trojan-Ransom.Win32.Wanna.b) (заявка № 212008)

  1. #1
    Junior Member Репутация
    Регистрация
    13.05.2017
    Сообщений
    3
    Вес репутации
    31

    Шифровальщик @WanaDecryptor@ (Trojan-Ransom.Win32.Wanna.m, Trojan-Ransom.Win32.Wanna.b)

    Сам по себе перезагрузился компьютер. После перезагрузки зашифровались файлы txt, jpg, docx, mp3... (Пример: MOV_0003.mp4.WNCRY).
    Так же почти во всех папках появились файлы @[email protected] и @[email protected].
    Ни один антивирус не помог.

    Пожалуйста, прошу помочь с лечением и восстановлением файлов.

    Логи вложил.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,289
    Вес репутации
    384
    Уважаемый(ая) doc1286, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,573
    Вес репутации
    1086
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    13.05.2017
    Сообщений
    3
    Вес репутации
    31
    Сделал!
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,573
    Вес репутации
    1086
    Запустите FRST/FRST64. Нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    HKU\S-1-5-19\...\RunOnce: [] => [X]
    HKU\S-1-5-20\...\RunOnce: [] => [X]
    HKU\S-1-5-18\...\RunOnce: [] => [X]
    ShellIconOverlayIdentifiers: [IDM Shell Extension] -> {CDC95B92-E27C-4745-A8C5-64A52A78855D} =>  -> No File
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    CHR HKU\S-1-5-21-1355353891-2438031527-3534027116-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    ProxyEnable: [.DEFAULT] => Proxy is enabled.
    ProxyServer: [.DEFAULT] => http=127.0.0.1:8080
    CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B51AED070-F6F5-467E-ABAB-74D40CBF581E%7D&gp=811037
    CHR DefaultSearchKeyword: Default -> mail.ru_
    CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
    CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-1355353891-2438031527-3534027116-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\Doc\AppData\Local\Google\Drive\user_default\apdfllckaahabafndbhieahigkjlhalf_live.crx [2015-09-26]
    CHR HKU\S-1-5-21-1355353891-2438031527-3534027116-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-1355353891-2438031527-3534027116-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [bmfkokagbnpkfpcmgejfakcgihomndal] - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta189\ch\VideoPlayerV3beta189.crx <not found>
    CHR HKLM-x32\...\Chrome\Extension: [fkndebkjmefgahonloobbmhjbkljabdb] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release743\ch\RichMediaViewV1release743.crx <not found>
    CHR HKLM-x32\...\Chrome\Extension: [gaafbiokojkkhdcgnohhbpgekflcdjgi] - C:\Program Files (x86)\TrustMediaViewerV1\TrustMediaViewerV1alpha4386\ch\TrustMediaViewerV1alpha4386.crx <not found>
    CHR HKLM-x32\...\Chrome\Extension: [ibcnefhpiepgcmmcldcmocgglnhgplod] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home723\ch\MediaWatchV1home723.crx <not found>
    CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [llggialcamnjcmicjkljapekhfilbhdn] - C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha1394\ch\MediaViewerV1alpha1394.crx <not found>
    CHR HKLM-x32\...\Chrome\Extension: [lmmhdljmlbagamfehooomhpmkaicklcg] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode4315\ch\MediaBuzzV1mode4315.crx <not found>
    CHR HKLM-x32\...\Chrome\Extension: [mpodjmnkehfohijpjkjagagloafbeglp] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha1154\ch\MediaViewV1alpha1154.crx <not found>
    CHR HKLM-x32\...\Chrome\Extension: [npalfkbmbncophgmmfhefkepmpljnibc] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha2717\ch\MediaViewV1alpha2717.crx <not found>
    OPR Extension: (Ge-Force) - C:\Users\Doc\AppData\Roaming\Opera Software\Opera Stable\Extensions\jhongheibdpfhdpfccheljfcabgliidh [2015-11-04]
    OPR Extension: (SensePlus.V2) - C:\Users\Doc\AppData\Roaming\Opera Software\Opera Stable\Extensions\knlpigpfaognbholppaembpfphilacie [2015-11-04]
    StartMenuInternet: (HKLM) Opera.exe - C:\Program Files (x86)\Opera\Opera.exe hxxp://www.mystartsearch.com/?type=sc&ts=1435492611&z=8874af1da1a22b5cd497d2agcz3ccw4z3tfq1gatbo&from=cmi&uid=ST1000DM003-1CH162_Z1D60MVRXXXXZ1D60MVR
    Folder: C:\ziNMUHX4MKoYj5DA
    Folder: C:\AMZMCDlbNo5X08bf
    Folder: C:\ProgramData\fhbvpcwwvooez875
    CustomCLSID: HKU\S-1-5-21-1355353891-2438031527-3534027116-1000_Classes\CLSID\{19170A69-A883-40D5-AF97-F6DC41495F15}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-1355353891-2438031527-3534027116-1000_Classes\CLSID\{97836AB9-12C5-4C30-A128-B75196DD1787}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-1355353891-2438031527-3534027116-1000_Classes\CLSID\{ECF41531-0840-4361-955F-1157A091842F}\InprocServer32 -> no filepath
    Task: {01D6CB42-E816-4BB0-A5DE-5F792FE387AB} - \dbe178dc-aa40-4f0a-8e54-eb3df3766423-7 -> No File <==== ATTENTION
    Task: {1F3E0BB4-42C8-45CB-B25A-E3DB27C62E1B} - System32\Tasks\{7B23EAC4-72DB-46BE-ADF0-A6279C762D92} => Chrome.exe 
    Task: {3351BDD9-55FB-4E8B-AC20-542174A1A81E} - \dbe178dc-aa40-4f0a-8e54-eb3df3766423-5 -> No File <==== ATTENTION
    Task: {4CA8AC60-3DF5-424D-8B6C-9493B67885A1} - \dbe178dc-aa40-4f0a-8e54-eb3df3766423-11 -> No File <==== ATTENTION
    Task: {4E676AFD-1310-4BEB-AF74-85F21FB53238} - System32\Tasks\{1976C928-D43A-4401-9EF7-2D19D1B77277} => Chrome.exe 
    Task: {56ACEDB4-5A61-41A9-912F-9EA4816CA04A} - System32\Tasks\UNELEVATE_26736 => C:\Program Files (x86)\ShopperPro\JSDriver\1.42.1.2049\jsdrv.exe  <==== ATTENTION
    Task: {708CC4D7-EB9B-4AD4-AFE7-8D4BE442AA8E} - System32\Tasks\{6B213492-C171-42A1-B01E-A67F5D32DC79} => Chrome.exe 
    Task: {74CBB856-529D-4EDE-B3DE-E83E7D2836D4} - System32\Tasks\{B12E0E76-ECC8-41F9-96A3-8F9E9A7635E9} => Chrome.exe 
    Task: {B03C47D5-71DA-4C48-9713-23FE74D7CDBA} - System32\Tasks\{1356CFC8-6907-46BD-A3C9-DCEDDADA7D62} => c:\users\doc\appdata\local\amigo\application\amigo.exe 
    Task: {B078674F-34B0-4FED-A9A4-13336D9C0EC2} - System32\Tasks\{403D46D4-4C9E-4EA5-A117-296C8DBB1ABA} => Chrome.exe 
    Task: {C1C5952A-A2A6-49A2-B609-46323A87A3C5} - System32\Tasks\{A68382A0-CBFB-41A9-916A-0FDE5483FC25} => Chrome.exe 
    Task: {D1ECE2FD-A6B0-40CE-AEB1-21A5F11EA03A} - \dbe178dc-aa40-4f0a-8e54-eb3df3766423-4 -> No File <==== ATTENTION
    Task: {D8A538F7-A392-41F9-ADC3-B6ED10F76B8D} - System32\Tasks\dbe178dc-aa40-4f0a-8e54-eb3df3766423-6 => C:\Program Files (x86)\CinemaPlus-4.5vV27.06\dbe178dc-aa40-4f0a-8e54-eb3df3766423-6.exe  <==== ATTENTION
    Task: {E8C42C94-B076-4B55-8977-09D83384A346} - \dbe178dc-aa40-4f0a-8e54-eb3df3766423-3 -> No File <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\TEMP:05EE1EEF [1020]
    AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [152]
    HKU\.DEFAULT\Software\Classes\exefile: "%1" %* <===== ATTENTION
    HKU\.DEFAULT\Software\Classes\.exe: exefile => "%1" %* <===== ATTENTION
    HKU\S-1-5-21-1355353891-2438031527-3534027116-1000\Software\Classes\exefile: "%1" %* <===== ATTENTION
    HKU\S-1-5-21-1355353891-2438031527-3534027116-1000\Software\Classes\.exe: exefile => "%1" %* <===== ATTENTION
    MSCONFIG\startupfolder: C:^Users^Doc^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^crossbrowse.lnk => C:\Windows\pss\crossbrowse.lnk.Startup
    MSCONFIG\startupfolder: C:^Users^Doc^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^us.exe => C:\Windows\pss\us.exe.Startup
    Reboot:
    Сохраните (Ctrl+S) и закройте.
    Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    13.05.2017
    Сообщений
    3
    Вес репутации
    31
    Сделал
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,573
    Вес репутации
    1086
    Примените в FRST такой fixlist.txt:
    Код:
    2017-05-13 13:03 - 2017-05-13 13:03 - 00000000 ___HD C:\ziNMUHX4MKoYj5DA
    2017-05-13 00:03 - 2017-05-13 00:03 - 00000000 ___HD C:\AMZMCDlbNo5X08bf
    2017-05-12 16:25 - 2017-05-13 14:09 - 00000000 ___HD C:\ProgramData\fhbvpcwwvooez875
    Включите системный брандмауэр, обновляйте систему. Расшифровки нет и пока не предвидится.
    WBR,
    Vadim

Похожие темы

  1. WanaDecryptor #2 [Trojan-Ransom.Win32.Wanna.c, Trojan-Ransom.Win32.Wanna.aa ]
    От nik_doom в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 16.05.2017, 21:54
  2. Ответов: 11
    Последнее сообщение: 16.05.2017, 06:41
  3. Ответов: 18
    Последнее сообщение: 15.05.2017, 11:13
  4. Карантин 764B9311B932BFC1C5072416EB690880 [Trojan-Ransom.Win32.Wanna.m ]
    От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
    Ответов: 1
    Последнее сообщение: 13.05.2017, 11:23
  5. Ответов: 5
    Последнее сообщение: 24.01.2017, 20:15

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01619 seconds with 19 queries