wannacry последствия

**gigog** · 05.07.2017, 22:04

Я открыл wannacry в virtualbox и кое че забыл закрыть и wannacry проник ко мне на компьютер я быстро его выключил и когда включил 5-6 файлов были зашифрованы я их удалил но остались файлы с названием ((@[email protected])) и ((@[email protected])) Хелп

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 05.07.2017, 22:05

Уважаемый(ая) gigog, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 07.07.2017, 09:55

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\YoutubeAdBlockU\0vjPplD.dll','');
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 QuarantineFile('C:\Users\макс\AppData\LocalLow\SearchGo\searchgo.dll','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YeaDesktop');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','axrwwrhvis');
 DeleteFile('C:\Users\макс\AppData\LocalLow\SearchGo\searchgo.dll','32');
 DeleteFile('C:\Program Files (x86)\YoutubeAdBlockU\0vjPplD.dll','32');
 DeleteFile('C:\Windows\Tasks\E3605470-291B-44EB-8648-745EE356599A.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9); 
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

**gigog** · 07.07.2017, 12:02

Вот

**thyrex** · 07.07.2017, 16:17

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**gigog** · 08.07.2017, 22:41

Вот

**thyrex** · 09.07.2017, 10:22

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
IFEO\avcenter.exe: [Debugger] nsjw.exe
IFEO\avguard.exe: [Debugger] nsjw.exe
IFEO\avp.exe: [Debugger] nsjw.exe
IFEO\bdagent.exe: [Debugger] nsjw.exe
IFEO\ccuac.exe: [Debugger] nsjw.exe
IFEO\ComboFix.exe: [Debugger] nsjw.exe
IFEO\egui.exe: [Debugger] nsjw.exe
IFEO\hijackthis.exe: [Debugger] nsjw.exe
IFEO\keyscrambler.exe: [Debugger] nsjw.exe
IFEO\mbam.exe: [Debugger] nsjw.exe
IFEO\MpCmdRun.exe: [Debugger] nsjw.exe
IFEO\MSASCui.exe: [Debugger] nsjw.exe
IFEO\MsMpEng.exe: [Debugger] nsjw.exe
IFEO\msseces.exe: [Debugger] nsjw.exe
IFEO\spybotsd.exe: [Debugger] nsjw.exe
IFEO\wireshark.exe: [Debugger] nsjw.exe
IFEO\zlclient.exe: [Debugger] nsjw.exe
InternetURL: C:\Users\макс\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe.url -> URL: C:\ProgramData\27218346293184.exe
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-411180323-782875911-1795192557-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jmiiohiaajjffehaafddaigaacdjmmgn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kapkeeoajacndgpgkndfecndmclcnffb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oflajgcnpjplgoiffpcakpabenecnhgk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
S2 AdvancedSystemCareService9; C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe [X]
2017-07-05 16:40 - 2017-07-05 16:33 - 00000933 _____ C:\Users\макс\AppData\Roaming\@[email protected]
2017-07-05 16:36 - 2017-07-05 16:33 - 00000933 _____ C:\Users\макс\AppData\Local\@[email protected]
2017-07-05 16:36 - 2017-07-05 16:33 - 00000933 _____ C:\Users\Администратор\AppData\Local\@[email protected]
2017-07-05 16:34 - 2017-07-05 16:33 - 00000933 _____ C:\@[email protected]
Task: {194A79F9-9875-4438-9F97-F351A77AA22E} - \syslog -> No File <==== ATTENTION
Task: {31CABAC4-2145-44E6-950F-31177319BB05} - \wupdate -> No File <==== ATTENTION
Task: {3B18DAC2-F183-4986-BAD2-DA6C9C18EFBF} - \MSI -> No File <==== ATTENTION
Task: {454B979C-2925-4323-BD37-68ACC347C9E2} - \Online Application V2G1 -> No File <==== ATTENTION
Task: {6C93EF11-E9A9-4BA8-9B36-7F3B189FF07E} - \Online Application V2G3 -> No File <==== ATTENTION
Task: {8E3D1438-2F27-4F16-9255-4CA3E6E423AB} - \SearchGo Task -> No File <==== ATTENTION
Task: {CE96FB13-88BE-4574-B605-2DC78DAA3D69} - \Online Application V2G2 -> No File <==== ATTENTION
Task: {DA822C25-441B-4C11-BCD6-0E46F6FBFCB6} - \E3605470-291B-44EB-8648-745EE356599A -> No File <==== ATTENTION
Task: {DF5EEAB9-A3F4-4BBA-B764-3E1EF2DB5A3E} - \E3605470-291B-44EB-8648-745EE356599A2 -> No File <==== ATTENTION
Task: {EBF1AB7E-411B-400F-9EC4-0D32D3F70350} - \SpyHunter4Startup -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

**gigog** · 09.07.2017, 13:32

Вот

**thyrex** · 09.07.2017, 15:25

Проблема решена?

**gigog** · 09.07.2017, 20:43

Да спасибо.

wannacry последствия (заявка № 213620)

Опции темы