Trojan-Ransom.Win32.Wanna.m. касперский и ошибки

[no122vav2]

Обнаружен объект: Троянская программа Trojan-Ransom.Win32.Wanna.m.

Касперский security 10 не лечит зараженные объекты
Возникают ошибки
Внутренняя ошибка. Код ошибки: 0xFFFFFFFF

логи которые смог приложить

[Info_bot]

Уважаемый(ая) no122vav2, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

А логи по правилам удалось сделать? Файл CollectionLog-*.zip есть?

[no122vav2]

Логи

[Vvvyg]

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\kab106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk"           -> ["C:\Users\kab106\AppData\Local\Amigo\Application\vk.exe"  =>> hxxp://r.mail.ru/n137259054]
>>>  "C:\Users\kab106\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk"        -> ["C:\Users\kab106\AppData\Local\Amigo\Application\vk.exe"  =>> hxxp://r.mail.ru/n137259063]
>>>  "C:\Users\kab106\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk"    -> ["C:\Users\kab106\AppData\Local\Amigo\Application\ok.exe"  =>> hxxp://r.mail.ru/n137259061]
>>>  "C:\Users\kab106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk"       -> ["C:\Users\kab106\AppData\Local\Amigo\Application\ok.exe"  =>> hxxp://r.mail.ru/n137259047]
>>>  "C:\Users\kab106\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk"  -> ["C:\Users\kab106\AppData\Local\Amigo\Application\amigo.exe"  =>> --force-fieldtrials=EnforceCTForProblematicRoots/disabled]
>>>  "C:\Users\kab106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk"     -> ["C:\Users\kab106\AppData\Local\Amigo\Application\amigo.exe"  =>> --force-fieldtrials=EnforceCTForProblematicRoots/disabled]
>>>  "C:\Users\kab106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Амиго.Музыка.lnk"           -> ["C:\Users\kab106\AppData\Local\Amigo\Application\amigo.exe"  =>> --app-id=mbipmajmbfjakbcfnjdldckninlnmhoe --force-fieldtrials=EnforceCTForProblematicRoots/disabled]
>>>  "C:\Users\kab106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Почта Mail.Ru.lnk"          -> ["C:\Users\kab106\AppData\Local\Amigo\Application\amigo.exe"  =>> --app-id=pgkcjlfddldjbjedihplepchglcpamne --force-fieldtrials=EnforceCTForProblematicRoots/disabled]
>>>  "C:\Users\kab106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\ВКонтакте.lnk"    -> ["C:\Users\kab106\AppData\Local\Amigo\Application\amigo.exe"  =>> --profile-directory=Default --app-id=blpabnnnpcfijmjhhdihdglfhecjoknn]
>>>  "C:\Users\kab106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Одноклассники.lnk"          -> ["C:\Users\kab106\AppData\Local\Amigo\Application\amigo.exe"  =>> --app-id=jbhbhflenehimkngcjnpeleogniobpnn --force-fieldtrials=EnforceCTForProblematicRoots/disabled]
>>>  "C:\Users\stat1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\6a74071c0587e894\Yandex.lnk"  -> ["C:\Users\stat1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"  =>> --profile-directory=Default]
>>>  "C:\Users\kab108s\Documents\Государственный реестр лекарственных средств.lnk"         -> ["C:\Program Files (x86)\Opera\opera.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Государственный реестр лекарственных средств.lnk"   -> ["C:\Program Files (x86)\Opera\opera.exe"]
>>>  "C:\Users\kab106\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk"           -> ["C:\Users\kab106\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"]
>>>  "C:\Users\kab106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk"       -> ["C:\Users\kab106\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"]
>>>  "C:\Users\hirprom\Desktop\Yandex.lnk"         -> ["C:\Users\hirprom\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"]
>>>  "C:\Users\Администратор\Desktop\HP ProLiant Integrated Management Log Viewer.lnk"     -> ["C:\Program Files\Compaq\Cpqimlv\cpqimlv.exe"]
>>>  "C:\Users\kab206s\Desktop\для участковых медсестер\Ярлык для ProfTub.lnk"   -> ["C:\Users\kab206s\Documents\Ывкпфып.doc"]
>>>  "C:\Users\kab206s\Desktop\для участковых медсестер\Ярлык для Копия (4) Выписка из амбулаторной карт1.lnk"           -> ["E:\Копия (4) Выписка из амбулаторной карт1.docx"]
>>>  "C:\Users\kab208s\Desktop\для участковых медсестер\Ярлык для ProfTub.lnk"   -> ["C:\Users\kab208s\Documents\Ывкпфып.doc"]
>>>  "C:\Users\kab208s\Desktop\для участковых медсестер\Ярлык для Копия (4) Выписка из амбулаторной карт1.lnk"           -> ["E:\Копия (4) Выписка из амбулаторной карт1.docx"]
>>>  "C:\Users\anes\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain\Uninstall PriceFountain.lnk"     -> ["C:\Users\anes\AppData\Local\PriceFountain\uninst.exe"  =>> /uninstall]
>>>  "C:\Users\kab204s\Desktop\для участковых медсестер\Ярлык для ProfTub.lnk"   -> ["C:\Users\kab204s\Documents\Ывкпфып.doc"]
>>>  "C:\Users\sed\Desktop\VZR - Ярлык.lnk"        -> ["D:\arena\VZR\VZR.exe"]
>>>  "C:\Users\anes\Desktop\воеводина\vov\первичка анестезиологов.doc.lnk"       -> ["C:\Users\anes\Desktop\Святославна\шаблоны\первичка анестезиологов.doc"]
>>>  "C:\Users\anes\Desktop\воеводина\первичка анестезиологов.doc.lnk"           -> ["C:\Users\anes\Desktop\Святославна\шаблоны\первичка анестезиологов.doc"]
>>>  "C:\Users\miraleev93\Desktop\SDK.lnk"         -> ["C:\Program Files\TrafInsp\SDK_RUS.chm"]
>>>  "C:\Users\kab108s\Links\Downloads.lnk"        -> ["C:\Users\kab108s\Downloads"]
>>>  "C:\Users\bolotnikovas\Desktop\ROMViewer - Ярлык.lnk"   -> ["C:\Program Files (x86)\LiteManagerFree - Viewer\ROMViewer.exe"]
>>>  "C:\Users\Администратор\WINDOWS\ARJ.PIF"      -> ["ARJ.EXE"]
>>>  "C:\Users\Администратор\WINDOWS\LHA.PIF"      -> ["LHA.EXE"]
>>>  "C:\Users\Администратор\WINDOWS\PKUNZIP.PIF"  -> ["PKUNZIP.EXE"]
>>>  "C:\Users\Администратор\WINDOWS\PKZIP.PIF"    -> ["PKZIP.EXE"]
>>>  "C:\Users\Администратор\WINDOWS\RAR.PIF"      -> ["RAR.EXE"]
>>>  "C:\Users\Администратор\WINDOWS\UC.PIF"       -> ["UC.EXE"]
>>>  "C:\Users\Администратор\Desktop\Рабочий стол\11022020\SDK.lnk"    -> ["C:\Program Files\TrafInsp\SDK_RUS.chm"]
>>>  "C:\Users\kab204s\Desktop\Колинченко Н.Н\Колинченко Н.Н\для участковых медсестер\Ярлык для ProfTub.lnk"   -> ["C:\Users\kab204s\Documents\Ывкпфып.doc"]
>>>  "C:\Users\dp123s\Desktop\бланки\Наш обмен\ЗАРУБИНА Ж.В\Первичн мед.помощь  для обучающ.(проект)\HP System Management Homepage.lnk"      -> ["C:\Windows\inetIcon.url"]
>>>  "C:\Users\zel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AppCleaner\AppCleaner.lnk"  -> ["C:\Program Files (x86)\AppCleaner\Cleaner.Win.exe"]
>>>  "C:\Users\zel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AppCleaner\Uninstall.lnk"   -> ["C:\Program Files (x86)\AppCleaner\Uninstall.exe"]
>>>  "C:\Users\dp124s\Desktop\Наш обмен\ЗАРУБИНА Ж.В\Первичн мед.помощь  для обучающ.(проект)\HP System Management Homepage.lnk"   -> ["C:\Windows\inetIcon.url"]
>>>  "C:\Users\kab208s\Desktop\Колинченко Н.Н\для участковых медсестер\Ярлык для ProfTub.lnk"        -> ["C:\Users\kab208s\Documents\Ывкпфып.doc"]
>>>  "C:\Users\kab204s\Desktop\Колинченко Н.Н\для участковых медсестер\Ярлык для ProfTub.lnk"        -> ["C:\Users\kab204s\Documents\Ывкпфып.doc"]
>>>  "C:\Users\kab207s\Desktop\для участковых медсестер\Ярлык для ProfTub.lnk"   -> ["C:\Users\kab207s\Documents\Ывкпфып.doc"]
>>>  "C:\Users\kab208s\Desktop\Балдина.И.И\Ярлык для ProfTub.lnk"      -> ["C:\Users\kab208s\Documents\Ывкпфып.doc"]
>>>  "C:\Users\gin3\ООО Кабинет лабораторных - Ярлык.lnk"    -> ["C:\Users\gin3\Desktop\ООО Кабинет лабораторных.docx"]
>>>  "C:\Users\dp123v\Desktop\Наш обмен\ЗАРУБИНА Ж.В\Первичн мед.помощь  для обучающ.(проект)\HP System Management Homepage.lnk"   -> ["C:\Windows\inetIcon.url"]
>>>  "C:\Users\kab106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Мой Мир.lnk"      -> ["C:\Users\kab106\AppData\Local\Amigo\Application\amigo.exe"  =>> --app-id=oplpkihnjdodepplnehakffakpgfcpji --force-fieldtrials=EnforceCTForProblematicRoots/disabled]
>>>  "C:\Users\kab106\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Мини-игры Mail.Ru.lnk"      -> ["C:\Users\kab106\AppData\Local\Amigo\Application\amigo.exe"  =>> --app-id=eelhkjeciikfclbijaplfgdlnmnpamgk --force-fieldtrials=EnforceCTForProblematicRoots/disabled]
>>>  "C:\Users\hir4\Desktop\Хирургия\критерии оценки качества от 2017 г..lnk"    -> ["C:\Users\hir4\Downloads\pmz203n-10-5-17.pdf"]
>>>  "C:\Users\kab208v\Desktop\мсэк и выписки  Маскаева\Балдина.И.И\Ярлык для ProfTub.lnk"           -> ["C:\Users\kab208v\Documents\Ывкпфып.doc"]
>>>  "C:\Users\kab208v\Desktop\мсэк и выписки  Маскаева\Балдина.И.И\Балдина.И.И\Ярлык для ProfTub.lnk"         -> ["C:\Users\kab208v\Documents\Ывкпфып.doc"]
>>>  "C:\Users\bolotnikovas\Desktop\HP ProLiant Integrated Management Log Viewer.lnk"      -> ["C:\Program Files\Compaq\Cpqimlv\cpqimlv.exe"]
>>>  "C:\Users\kab208s\Desktop\сан-кур - Ярлык.lnk"          -> ["C:\Users\kab208s\Desktop\сан-кур.docx"]
>>>  "C:\Users\hirprom\Desktop\Корзина\Булатов Алексей  Сергеевич.lnk"           -> ["E:\ОбщСекр\ИНФОРМАЦИЯ для ВРАЧЕЙ\МСЭК.doc"]
>>>  "C:\Users\hirprom\Desktop\Корзина\вотяков в.в. - Ярлык.lnk"       -> ["C:\Users\hirprom\Desktop\вотяков в.в..docx"]
>>>  "C:\Users\hirprom\Desktop\Корзина\МСЭК - Ярлык (3).lnk"           -> ["C:\Users\hirprom\Desktop\МСЭК\МСЭК Василевская АР.doc"]
>>>  "C:\Users\hirprom\Desktop\Новая папка\Коргополова м.и..lnk"       -> ["C:\Users\hirprom\Desktop\каб210\Казанцева.docx"]
>>>  "C:\Users\hir4\Desktop\Сухова\антирабическая папка\Квартальный отчет 3.doc.lnk"       -> ["C:\Users\hir4\Desktop\документы отдела\антирабическая папка\Квартальный отчет по антирабической деятельност.doc"]
>>>  "C:\Users\kab210s\Desktop\сан кур карты-2019г\Паршаева.lnk"       -> ["C:\Users\kab210s\Desktop\сан кур карты\суслова.doc"]
>>>  "C:\Users\hir4\Desktop\Сухова\Ведение историй\Ярлык для Ведение историй.lnk"          -> ["C:\Users\hir4\Documents\Ведение историй"]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\5D77D74ED73B2E398D4C651A065C9511: [URL] = http://superru.net/?q={searchTerms}&utm_medium=cse&utm_source=ffx&utm_campaign=bp&utm_content=11-09 - Google
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: [URL] = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=3E2180C16E74291A&affID=122471&tsp=4944 - Delta Search
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8A0349E9-5932-C082-03A2-591DDE006DBACE7}: [URL] = http://superru.net/?text={searchTerms}&utm_medium=cse&utm_source=ffx&utm_campaign=bp&utm_content=11-09 - Яндекс
O4 - MSConfig\startupreg: CCleaner Smart Cleaning [command] = C:\Program Files\CCleaner\CCleaner64.exe /MONITOR (HKCU) (2020/11/30) (file missing)
O4 - MSConfig\startupreg: GoogleChromeAutoLaunch_ECDD6029C5CCE0A7929A253137E11B62 [command] = C:\Users\Администратор\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --shutdown-if-not-closed-by-system-restart (HKCU) (2021/03/21)
O4 - MSConfig\startupreg: YandexElements [command] = C:\Users\Администратор\AppData\Local\Yandex\Elements\elements.exe\8.14.0.1058\elements64.exe /auto (HKCU) (2018/11/28) (file missing)
O4 - MSConfig\startupreg: agent.desktop [command] = C:\Users\Администратор\AppData\Roaming\Mail.Ru\Agent\bin\magent.exe /startup (HKCU) (2020/11/16) (file missing)
O22 - Task: Восстановление сервиса обновлений Яндекс.Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\21.2.2.101\service_update.exe --repair (file missing)

У пользователей kab106 и reg3 браузер Amigo по делу установлен?

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

[no122vav2]

логи

[Vvvyg]

Поиск критических уязвимостей
MS17-010: Обновления безопасности для Windows SMB Server
http://download.windowsupdate.com/d/...2d8c4e92b3.msu

Накопительное обновление безопасности для браузера Internet Explorer
http://download.windowsupdate.com/c/...37c634b764.msu

Накопительное обновление системы безопасности для битов аннулирования ActiveX
https://www.microsoft.com/downloads/...c-43c6dd6cb78e

Уязвимость в ядре Windows может допустить повышение уровня полномочий
https://www.microsoft.com/downloads/...5-3fd5be147cf4

Уязвимость в MSXML делает возможным удаленное выполнение кода
https://www.microsoft.com/downloads/...f-2f599fe6fdd9

[микропрограмма лечения]> изменен параметр DisableATMFD ключа HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
https://www.catalog.update.microsoft...px?q=KB2881067
Для установки этого обновления требуется установить SP3 для Microsoft Office 2007
https://www.catalog.update.microsoft...px?q=kb2526086

Обновление для системы безопасности Microsoft Office Word 2007
https://www.microsoft.com/downloads/...8-6ccfdfa399c5
Для установки этого обновления требуется установить SP3 для Microsoft Office 2007
https://www.catalog.update.microsoft...px?q=kb2526086

Обновление для системы безопасности Microsoft Office Word 2003 Compatibility Pack
https://www.microsoft.com/downloads/...0-4b18081bd536

Уязвимости в Adobe Flash Player для Firefox/Safari/Opera
https://fpdownload.adobe.com/get/fla...ash_player.exe

Microsoft Silverlight 5.1.20513.0 устарел. Удалите его или установите новый
https://www.microsoft.com/getsilverl...lverlight.ashx

Устанавливайте обновления по ссылкам, MS17-010 в обязательном порядке, через эту уязвимость и лезут вирусы.

Кстати, проверяйте все компьтеры, ставьте обновления, источник заразы наверняка в вашей сети.

[no122vav2]

не ставится обновление , винда там полумертвая, не рабает планировщик, не запускается и безопасный, не пробрасываются принтеры, слетела активация. все это решили на 2012 сервер переносить, как бы там это не продолжилось. посмотрел журналы, там годами такая ситуация с вирусами

- - - - -Добавлено - - - - -

касперский не лечит ничего
пишет ошибка
техподдержка каспера ответила обновить до 11
11 не поддерживает вин хп

[Vvvyg]

Ставьте свежую систему и сразу обновляйте по полной.