Компьютер перезагружается с синим экраном. [Trojan-Ransom.Win32.Wanna.m ]

[ka0]

Компьютер начал тормозить, перезагружается с синим экраном через пару часов работы. Антивирус что-то находит, удаляет, но не особо помогает. После перезагрузки все повторяется заново.

[Info_bot]

Уважаемый(ая) ka0, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Обновления для системы врядли все установлены, не говоря уже о патче для WannaCry. Приступайте. Только после этого выполнните написанное ниже.

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('Windows Adobe System Incorporate');
 DeleteService('SystemCtl');
 QuarantineFile('c:\Windows\service.exe','');
 SetServiceStart('asdasdasdasdasdas', 4);
 DeleteService('asdasdasdasdasdas');
 QuarantineFile('C:\Windows\TEMP\mcckq.exe','');
 SetServiceStart('SystemC32', 4);
 DeleteService('SystemC32');
 TerminateProcessByName('c:\windows\mssecsvc.exe');
 QuarantineFile('c:\windows\mssecsvc.exe','');
 TerminateProcessByName('c:\iexplore.exe');
 QuarantineFile('c:\iexplore.exe','');
 TerminateProcessByName('c:\windows\csrss.exe');
 QuarantineFile('c:\windows\csrss.exe','');
 DeleteFile('c:\windows\csrss.exe','32');
 DeleteFile('c:\iexplore.exe','32');
 DeleteFile('c:\windows\mssecsvc.exe','32');
 DeleteFile('C:\Windows\TEMP\mcckq.exe','32');
 DeleteFile('c:\Windows\service.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[ka0]

Все обновил, установил, скрипты выполнил, прислал карантин. До этого я сам что-то пошаманил, вроде стало лучше, синего экрана больше не было, так что заранее извиняюсь если что не так. Новый лог прилагаю.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[ka0]

Готово

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
Toolbar: HKU\S-1-5-21-3490199844-1194963040-3465834457-1000 -> No Name - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} -  No File
CHR Extension: (Fast search v3.5) - C:\Users\Ваня\AppData\Local\Google\Chrome\User Data\Default\Extensions\leenkjhmbcgekojlkimcbodmniopgfnp [2016-08-05]
OPR Extension: (Fast search v3.5) - C:\Users\Ваня\AppData\Roaming\Opera Software\Opera Stable\Extensions\leenkjhmbcgekojlkimcbodmniopgfnp [2016-08-05]
S3 ACDaemon; C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [X]
S2 hgvpn; C:\Program Files (x86)\HideGuard VPN\hgvpn.exe [X]
2017-07-16 11:17 - 2017-07-16 12:21 - 03514368 ____S C:\Windows\tasksche.exe
2017-07-16 11:17 - 2017-07-16 11:17 - 03514368 ____S C:\Windows\qeriuwjhrf
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[ka0]

Вобщем перед запуском FRST я забыл отключить антивирус, наверно стоило бы. И во время выполнения фикса антивирус предложил мне удалить файл tasksche.exe и еще какой-то, там было написано что-то вроде fakeLPK я естественно нажал удалить. И компьютер не перезагрузился сам, но лог-файл был создан. Прикрепляю лог и скриншот удаленных файлов из карантина антивируса

[thyrex]

Сделайте лог полного сканирования МВАМ

[ka0]

Неожиданные результаты больше 9000 опасных объектов найдено.

[thyrex]

Что за библиотеки в папке C:\19.02.15\Потерянные\Приложения\X-DLL ?

[ka0]

Это восстановленные файлы с флешки они все перепутаны, даже не знаю что это могло быть.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\mssecsvc.exe - Trojan-Ransom.Win32.Wanna.m ( BitDefender: Gen:Variant.Adware.Barys.1890 )