Кажется, я словил WannaCry, помогите вылечить

[Skirmy]

Звуковая реклама при запуске компьютера. Звук исходит от iexplore.exe; если его загасить, то он запускается снова и снова проигрывает рекламу.
Прогнал через AVZ, он нашёл mssecsvc.exe. Я так понимаю, это WannaCry. Что странно, потому что 445 порт закрыт, SMB я отключал ещё в мае (не мог же он включиться сам?), и зашифрованных файлов я не нашёл ещё.
Файл я удалил сразу. Одноимённую с ним службу, которую создаёт WannaCry, также нашёл, выключил её саму и автозагрузку ей выключил. Но из системы удалить не могу, так как не знаю, как. Больше пока ничего не нашёл. Критическое обновление SMB поставил, но я повторюсь, SMB должен быть выключен (не могу в этом убедиться, его почему-то вообще в списке служб нет). Логи прилагаю.

Заранее спасибо!

Обновление сообщения. После перезагрузки реклама вернулась. Исполняемый файл, который я принял за WannaCry, обратно не материализовался. Вероятно, это другой вирус

[Info_bot]

Уважаемый(ая) Skirmy, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Нет, тот самый WannaCry, кроме прочего.

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('C:\Users\Артём\AppData\Local\Temp\SkypePM.exe');
 TerminateProcessByName('c:\windows\mssecsvc.exe');
 StopService('mssecsvc2.0');
 QuarantineFile('C:\Users\12C2~1\AppData\Local\Temp\SkypePM.exe', '');
 QuarantineFile('C:\Users\Артём\AppData\Local\Temp\SkypePM.exe', '');
 QuarantineFile('c:\windows\mssecsvc.exe', '');
 QuarantineFile('C:\Windows\tasksche.exe', '');
 DeleteFile('C:\Users\12C2~1\AppData\Local\Temp\SkypePM.exe', '32');
 DeleteFile('C:\Users\Артём\AppData\Local\Temp\SkypePM.exe', '32');
 DeleteFile('c:\windows\mssecsvc.exe', '32');
 DeleteFile('C:\Windows\tasksche.exe', '32');
 DeleteService('mssecsvc2.0');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'AdobeRMP');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O17 - HKLM\System\CSS\Services\Tcpip\..\{BF515154-B8F3-42A0-9A7B-1377281295DF}: NameServer = 0.0.0.0
O17 - HKLM\System\CSS\Services\Tcpip\..\{BF515154-B8F3-42A0-9A7B-1377281295DF}: NameServer = 0.0.0.0
O17 - HKLM\System\CSS\Services\Tcpip\..\{DF1EF989-3382-4585-B913-BE96463A334D}: NameServer = 0.0.0.0
O17 - HKLM\System\CSS\Services\Tcpip\..\{DF1EF989-3382-4585-B913-BE96463A334D}: NameServer = 0.0.0.0
O17 - HKLM\System\CSS\Services\Tcpip\..\{FA53BA11-21A1-491B-BAF8-AACA3106A61E}: NameServer = 0.0.0.0
O17 - HKLM\System\CSS\Services\Tcpip\..\{FA53BA11-21A1-491B-BAF8-AACA3106A61E}: NameServer = 0.0.0.0
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{BF515154-B8F3-42A0-9A7B-1377281295DF}: NameServer = 0.0.0.0
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{BF515154-B8F3-42A0-9A7B-1377281295DF}: NameServer = 0.0.0.0
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{DF1EF989-3382-4585-B913-BE96463A334D}: NameServer = 0.0.0.0
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{DF1EF989-3382-4585-B913-BE96463A334D}: NameServer = 0.0.0.0
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{FA53BA11-21A1-491B-BAF8-AACA3106A61E}: NameServer = 0.0.0.0
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{FA53BA11-21A1-491B-BAF8-AACA3106A61E}: NameServer = 0.0.0.0
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{BF515154-B8F3-42A0-9A7B-1377281295DF}: NameServer = 0.0.0.0
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{BF515154-B8F3-42A0-9A7B-1377281295DF}: NameServer = 0.0.0.0
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{DF1EF989-3382-4585-B913-BE96463A334D}: NameServer = 0.0.0.0
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{DF1EF989-3382-4585-B913-BE96463A334D}: NameServer = 0.0.0.0
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{FA53BA11-21A1-491B-BAF8-AACA3106A61E}: NameServer = 0.0.0.0
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{FA53BA11-21A1-491B-BAF8-AACA3106A61E}: NameServer = 0.0.0.0
O21 - ShellIconOverlayIdentifiers: ###MegaShellExtPending - {056D528D-CE28-4194-9BA3-BA2E9197FF8C} - (no file)
O21 - ShellIconOverlayIdentifiers: ###MegaShellExtSynced - {05B38830-F4E9-4329-978B-1DD28605D202} - (no file)
O21 - ShellIconOverlayIdentifiers: ###MegaShellExtSyncing - {0596C850-7BDD-4C9D-AFDF-873BE6890637} - (no file)
O21-32 - ShellIconOverlayIdentifiers: ###MegaShellExtPending - {056D528D-CE28-4194-9BA3-BA2E9197FF8C} - (no file)
O21-32 - ShellIconOverlayIdentifiers: ###MegaShellExtSynced - {05B38830-F4E9-4329-978B-1DD28605D202} - (no file)
O21-32 - ShellIconOverlayIdentifiers: ###MegaShellExtSyncing - {0596C850-7BDD-4C9D-AFDF-873BE6890637} - (no file)
O22 - Task (Ready): iToolsDaemon - C:\program files (x86)\thinksky\itools 3\iToolsDaemon.exe (file missing)

Устраняйте уязвимость, которую используют шифровальщики WannaCry и Petya: http://www.catalog.update.microsoft....px?q=KB4012212

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).

[Skirmy]

Всё сделал.
От AVZ умер хром, это нормально? Попробовал его переустановить. Безрезультатно. Запускается и сразу умирает. В процессах при этом висит.

Пытаюсь скачать фаерфокс, сайт открывается, но скачать не даёт. FTP тоже не открывается. И тормоза начались. До запуска скрипта AVZ такого не было, только звуковая реклама и всё :/

[Vvvyg]

Скрипт никак не мог затронуть Хром. Переустановите, если всё плохо.

Error: (10/11/2017 12:52:11 PM) (Source: Ntfs) (EventID: 55) (User: )
Description: Структура файловой системы на диске повреждена и непригодна к использованию.
Запустите программу CHKDSK на томе \Device\HarddiskVolume2.

В этом, скорее дело.

Отключите для верности протокол SMB версии 1 командами:

Код:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

Если обновление от WannaCry установили - по минимуму всё. Настоятельно рекомендую также:

Включить и настроить системный брандмауэр.

Ознакомиться со статьёй Так ли страшен контроль учетных записей (UAC)? и включить его.

[Skirmy]

Браузер реанимировать не смог, IE и FF тоже не работают... но, похоже, вирусы уже не при чём, налицо повреждение системных файлов винды.

Спасибо за помощь! Дальше я сам

[Vvvyg]

Рекомендации выше актуальны и после восстановления/переустановки системы. Успехов!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены