Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

KVRT:

Trojan-Ransom.Win32.Crusis.to
C:\Windows\System32\winhost.exe
Троянская программа
    MD5:  2C492DA142DD08FF4A52FC3FEB2F94F2
    SHA256:  D58B0A61C6B48BB171B19BBD82A31454102D02E5C224DF69E5EC37B7E2658D91

Опубликовано

Здравствуйте!

 

10 минут назад, Aleksandr63 сказал:

KVRT:

Trojan-Ransom.Win32.Crusis.to

Верно. Расшифровки нет, к сожалению.

 

Если нужна наша помощь в очистке системы от его следов, добавьте лог Addition.txt, пожалуйста.

Опубликовано

Лог FRST.txt из вашего первого сообщения был создан 27.05. Если есть сегодняшний, тоже его прикрепите.

Опубликовано

это версия от 27, файл сегодняшний

 

Опубликовано
6 минут назад, Sandor сказал:

Лог FRST.txt из вашего первого сообщения

То, что лог Addition.txt сегодняшний я видел.

Опубликовано

Прошу прощения, не туда посмотрел, спутал с датой версии программы :)

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    (explorer.exe ->) () [Файл не подписан] C:\Windows\System32\winhost.exe
    HKLM\...\Run: [winhost.exe] => C:\Users\Admin\AppData\Roaming\winhost.exe [94720 2023-05-29] () [Файл не подписан]
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => mshta.exe "C:\Windows\System32\Info.hta" [7225 2023-05-29] () [Файл не подписан]
    HKLM\...\Run: [C:\Users\Admin\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\Admin\AppData\Roaming\Info.hta" [7225 2023-05-29] () [Файл не подписан]
    HKLM-x32\...\Run: [SunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" (Нет файла)
    HKLM\...\RunOnce: [c76d53a9-0b6c-4934-ab2e-e6c2c0e7890b] => "C:\Users\Admin\AppData\Local\Temp\{4781759a-0943-4244-98bd-27df7e4d994d}\c76d53a9-0b6c-4934-ab2e-e6c2c0e7890b.cmd" (Нет файла) <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2023-05-29] () [Файл не подписан]
    Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe [2023-05-29] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2023-05-29] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe [2023-05-29] () [Файл не подписан]
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    2023-05-29 09:16 - 2023-05-29 09:16 - 000094720 _____ C:\Users\Admin\AppData\Roaming\winhost.exe
    2023-05-27 23:49 - 2023-05-29 09:22 - 000007225 _____ C:\Windows\system32\Info.hta
    2023-05-27 23:49 - 2023-05-29 09:22 - 000007225 _____ C:\Users\Admin\AppData\Roaming\Info.hta
    2023-05-27 23:49 - 2023-05-29 09:22 - 000000224 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2023-05-27 23:49 - 2023-05-29 09:22 - 000000224 _____ C:\Users\FILES ENCRYPTED.txt
    2023-05-27 23:49 - 2023-05-29 09:22 - 000000224 _____ C:\Users\Admin\Desktop\FILES ENCRYPTED.txt
    2023-05-27 23:49 - 2023-05-29 09:22 - 000000224 _____ C:\FILES ENCRYPTED.txt
    2023-05-27 09:50 - 2023-05-27 15:35 - 000094720 _____ C:\Windows\system32\winhost.exe
    FirewallRules: [{587751DE-9AA9-412F-8F78-3BEA9BCAD2A1}] => (Allow) LPort=3702
    FirewallRules: [{C2540A86-C131-49C0-AE74-BA7B5FEB2805}] => (Allow) LPort=9244
    FirewallRules: [{24E672E2-54F6-4DD2-9E6B-4038A7B6457C}] => (Allow) LPort=9100
    FirewallRules: [{B0404022-EE23-4D2A-8A58-44AA69A686C7}] => (Allow) LPort=427
    FirewallRules: [{8A9E7E2C-B441-4D0A-ACC1-A727206637D6}] => (Allow) LPort=161
    FirewallRules: [{7830F491-D929-40DB-9E3C-105A8BD4EA19}] => (Allow) LPort=427
    FirewallRules: [{7130D6B2-28A0-4394-9E48-52D054F0210B}] => (Allow) LPort=3389
    FirewallRules: [{4FAF4A93-1258-4BEA-81A0-28ACFAC027BC}] => (Allow) LPort=5357
    FirewallRules: [{2B4F755F-2E88-4F83-8DF3-9BC8EB18BF67}] => (Allow) LPort=3389
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Опубликовано

Не нужно было трижды запускать скрипт, достаточно одного раза.

 

Проверьте уязвимые места и устаревшее критическое ПО:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Опубликовано

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.18314 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2016-05-22 00:00:19
Поэтому постарайтесь установить эти исправления, закрывающие дыры в системе. Иначе повторного заражения не избежать:

------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.40728.0 Данная программа больше не поддерживается разработчиком.
Microsoft .NET Framework 4.6.1 v.4.6.01055 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.7.8.2 Внимание! Скачать обновления
TeamViewer 11 v.11.0.259193 Внимание! Скачать обновления
OpenOffice 4.1.6 v.4.16.9790 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 20.02 alpha (x64) v.20.02 alpha Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
-------------------------- [ IMAndCollaborate ] ---------------------------
Telegram Desktop, версия 1.9.14 v.1.9.14 Внимание! Скачать обновления
Viber v.15.7.0.24 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
Radmin Server 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 86.0.1 (x64 ru) v.86.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.10 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Auslogics BoostSpeed 8 v.8.0.1.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

 

Читайте Рекомендации после удаления вредоносного ПО

  • 7 месяцев спустя...
Опубликовано

апну на всякий, не появилось ли случаем дешифратора?

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • fastheel
      Автор fastheel
      Зашифровали сервер , сам вирус был пойман ( есть файл) и есть флаг с которым он был запущен

      update.exe   -pass e32fae18c0e1de24277c14ab0359c1b7
      Addition.txt FRST.txt u4IHZAluh.README.txt Desktop.zip
    • KOHb39
      Автор KOHb39
      Словили этот злополучный шифровальщик.
      На одной машине удалось изолировать его ехе файл судя по дате создания, файл гулял по ПК в сети.
      Может ли это как-то помочь в расшифровке? Кому передать и каким способом?
    • Влад1810
      Автор Влад1810
      Аналогично зашифровало, нужна помощьНовая папка.7z
      BlackField_ReadMe.txt
    • Restinn
      Автор Restinn
      Добрый день. Помогите в расшифровке. Ночью 06.08 все зашифровал и все. В инете никакой инфы нет
      Касперский не был установлен
      Прикрепил файлы и текстовый док 
      Новая папка.rar BlackField_ReadMe.txt
    • Алексей Новиков
      Автор Алексей Новиков
      Добрый день. Помогите в расшифровке  Прикрепил файлы и текстовый док 
      Fixlog.txt
      8.3.19.1522.rar
×
×
  • Создать...