MEM:Trojan.Win32.SEPEH.gen [Trojan-Ransom.Win32.Wanna.zbu, Trojan-Ransom.Win32.Wanna.m]

[vlad.sau]

Я установил kb4012212 x64, компьютер перезагрузил.

[SQ]

Покажите результат следующей команды в командной строке(cmd.exe)

Код:

reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc"

Сообщите, если Windows Firewall запустился?

[vlad.sau]

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\Пользователь>reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\s er
vices\MpsSvc"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\MpsSvc
DisplayName REG_SZ Брандмауэр Windows
Group REG_SZ NetworkProvider
ImagePath REG_EXPAND_SZ %SystemRoot%\system32\svchost.exe -k LocalServ
iceNoNetwork
Description REG_SZ @%SystemRoot%\system32\FirewallAPI.dll,-23091
ObjectName REG_SZ NT Authority\LocalService
ErrorControl REG_DWORD 0x1
Type REG_DWORD 0x20
DependOnService REG_MULTI_SZ mpsdrv\0bfe
ServiceSidType REG_DWORD 0x3
RequiredPrivileges REG_MULTI_SZ SeAssignPrimaryTokenPrivilege\0SeAudit
Privilege\0SeChangeNotifyPrivilege\0SeCreateGlobal Privilege\0SeImpersonatePrivil
ege\0SeIncreaseQuotaPrivilege
FailureActions REG_BINARY 80510100000000000000000003000000140000000100
0000C0D4010001000000E09304000000000000000000
Start REG_DWORD 0x2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\MpsSvc\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\MpsSvc\Security

C:\Users\Пользователь>

- - - - -Добавлено - - - - -

Не запустился. Код ошибки прежний. Ставлю второе обновление. kb4012215-x64

- - - - -Добавлено - - - - -

kb4012215-x64 установил, брандмауэр включился.

[SQ]

После как установить второе обновление, покажите результат следующей команды:

Код:

sfc /scannow

- - - - -Добавлено - - - - -

kb4012215-x64 установил, брандмауэр включился.

Отличная новость, в брандмауэре пожалуйста закройте (заблокируйте) порты SMB (139, 445). Вы можете отфильтровать столбец порты и найти порты 139, 445 сообщите их мне чтобы не заблокировать лишние.

[vlad.sau]

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\Пользователь>sfc /scannow

Начато сканирование системы. Этот процесс может занять некоторое время.

Начало стадии проверки при сканировании системы.
Проверка 100% завершена.
Защита ресурсов Windows обнаружила поврежденные файлы, но не может восстановить
некоторые из них.
Сведения см. в журнале CBS.log windir\Logs\CBS\CBS.log. Например:
C:\Windows\Logs\CBS\CBS.log

Изменения, сделанные при восстановлении системных файлов, вступят в силу только
после перезагрузки.

- - - - -Добавлено - - - - -

Я отключил 3 правила Общий доступ к файлам и принтерам (входящий трафик SMB) на 445 порту во входящих и исходящих. Правильно?
На 139 порту Общий доступ к файлам и принтерам (входящий трафик сессии NB) не трогал.

Как Вам их сообщить, заскринить?

[SQ]

Скачайте сторонную утилиту SFCFix.exe (by niemiro) и поместите на рабочей стол.
- Запустите программу.
- При запросах, нажмите "enter" (в общем должно получиться три раза).
- подождите завершения.
- по окончанию нажмите "enter", на рабочем столе сформируется файл SFCFix.txt приложите его к следующем сообщение.

- - - - -Добавлено - - - - -

Я отключил 3 правила Общий доступ к файлам и принтерам (входящий трафик SMB) на 445 порту во входящих и исходящих. Правильно?
На 139 порту Общий доступ к файлам и принтерам (входящий трафик сессии NB) не трогал.

Как Вам их сообщить заскринить?

нет скрины не нужны, Нужно не отключать а наоборот включить и указать запретить. Если у этого ПК нет расшаренного принтера то необходимо запретить и 139 порт.

[vlad.sau]

Лог приложил.

Принтер подключен.

Нужно делать входящие и исходящие?

netsh advfirewall set allprofile state on
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"

Так не получится?

[SQ]

Нужно делать входящие и исходящие?

netsh advfirewall set allprofile state on
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"

Так не получится?

Желательно не добавлять новых правил, так как потом будет тяжело определить проблемы, если они возникнут.

Посмотрите на картинке пример, необходимо чтобы правило было включено и выбрано блокировать подключение.

----------------------------------------
xblock_tcp_2.png.pagespeed.ic.hI1rCA6HGD.png



Важно: Следующее решение написано только для Вашего случая, не стоит его применять для других схожих случаев.
Перед начало убедитесь в том, что отсутствовал файл SFCFix.txt на рабочем столе.
----------------------------------------
Скачайте SFCFix.exe(by niemiro) и сохраните на рабочем столе.
Скачайте SFCFix.zip и сохраните на рабочем столе.
Убедитесь, чтобы название файла было SFCFix.zip - не в коем случае не меняте его. Сохраните и закройте все приложения.
Убедитесь, чтобы на рабочем столе было 2 файла: SFCFix.exe и SFCFix.zip.
нажмите мышкой на файл SFCFix.zip и переместите на SFCFix.exe и отпустите мышь.


SFCFix.exe начнет процесс исправления.
По окончанию создается файл: SFCFix.txt.
Приложите полученный отчет в следующем сообщение.
----------------------------------------

[vlad.sau]

Общий доступ к файлам и принтерам (SMB) на 445 порту включил входящие и исходящие правила. После установил блокировать.

на 445 в
исходящих остался = Основы сетей - групповая политика (NP - исходящий трафик)
входящих = Служба входа в сеть (NP-In), 2х Удаленное управление журналом событий (именованные каналы - входящий), 2х Удаленное управление службой (именованные каналы - входящий)
все неактивны.

139 порт не трогал.
Правильно?

[SQ]

139 порт не трогал.
Правильно?

Также заблокируйте только входящие. Важно исходящие правила не трогайте. Если заблокировали исходящие, то верните обратно.

[vlad.sau]

Сделал входящие 3х Общий доступ к файлам и принтерам (входящий трафик сессии NB) включить и заблокировать.
Во входящих на 139 больше правил нет.

Лог добавил.

[SQ]

Отлично, системные проблемы вроде решены судя по логам. Давайте проверим если нет вирусов. Соберите новые логи автологгера по правилам.

[vlad.sau]

Загрузил.

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  2018-10-28 23:28 - 2018-10-28 23:28 - 000011632 _____ C:\Windows\system32\sys.exe
  2018-10-29 02:55 - 2018-10-29 03:07 - 000000000 ____D C:\SFCFix
  2018-10-29 02:50 - 2018-10-29 03:07 - 000000000 ____D C:\Users\Пользователь\AppData\Local\niemiro
  2018-10-16 20:34 - 2018-10-28 16:14 - 000000020 _____ C:\Windows\system32\1.txt
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

- - - - -Добавлено - - - - -

Для выполните следующее в AVZ:
"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.

[vlad.sau]

log

[SQ]

Сообщите, что с проблемой?

[vlad.sau]

Поставил на проверку. Старые уведомления исчезли.

[SQ]

Поставил на проверку. Старые уведомления исчезли.

ок, ожидаю вашего ответа.

[vlad.sau]

Проверка завершена, угроз не обнаружено. Переходов по адресам пока не было.

[SQ]

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

- - - - -Добавлено - - - - -

В случае, если уязвимостей не будет найдено то выполните завершаюшие шаги.

В завершение:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.