Перейти к содержанию

Рекомендуемые сообщения

KVRT:

Trojan-Ransom.Win32.Crusis.to
C:\Windows\System32\winhost.exe
Троянская программа
    MD5:  2C492DA142DD08FF4A52FC3FEB2F94F2
    SHA256:  D58B0A61C6B48BB171B19BBD82A31454102D02E5C224DF69E5EC37B7E2658D91

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

10 минут назад, Aleksandr63 сказал:

KVRT:

Trojan-Ransom.Win32.Crusis.to

Верно. Расшифровки нет, к сожалению.

 

Если нужна наша помощь в очистке системы от его следов, добавьте лог Addition.txt, пожалуйста.

Ссылка на сообщение
Поделиться на другие сайты

Лог FRST.txt из вашего первого сообщения был создан 27.05. Если есть сегодняшний, тоже его прикрепите.

Ссылка на сообщение
Поделиться на другие сайты
6 минут назад, Sandor сказал:

Лог FRST.txt из вашего первого сообщения

То, что лог Addition.txt сегодняшний я видел.

Ссылка на сообщение
Поделиться на другие сайты

Прошу прощения, не туда посмотрел, спутал с датой версии программы :)

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    (explorer.exe ->) () [Файл не подписан] C:\Windows\System32\winhost.exe
    HKLM\...\Run: [winhost.exe] => C:\Users\Admin\AppData\Roaming\winhost.exe [94720 2023-05-29] () [Файл не подписан]
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => mshta.exe "C:\Windows\System32\Info.hta" [7225 2023-05-29] () [Файл не подписан]
    HKLM\...\Run: [C:\Users\Admin\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\Admin\AppData\Roaming\Info.hta" [7225 2023-05-29] () [Файл не подписан]
    HKLM-x32\...\Run: [SunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" (Нет файла)
    HKLM\...\RunOnce: [c76d53a9-0b6c-4934-ab2e-e6c2c0e7890b] => "C:\Users\Admin\AppData\Local\Temp\{4781759a-0943-4244-98bd-27df7e4d994d}\c76d53a9-0b6c-4934-ab2e-e6c2c0e7890b.cmd" (Нет файла) <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2023-05-29] () [Файл не подписан]
    Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe [2023-05-29] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2023-05-29] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe [2023-05-29] () [Файл не подписан]
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    2023-05-29 09:16 - 2023-05-29 09:16 - 000094720 _____ C:\Users\Admin\AppData\Roaming\winhost.exe
    2023-05-27 23:49 - 2023-05-29 09:22 - 000007225 _____ C:\Windows\system32\Info.hta
    2023-05-27 23:49 - 2023-05-29 09:22 - 000007225 _____ C:\Users\Admin\AppData\Roaming\Info.hta
    2023-05-27 23:49 - 2023-05-29 09:22 - 000000224 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2023-05-27 23:49 - 2023-05-29 09:22 - 000000224 _____ C:\Users\FILES ENCRYPTED.txt
    2023-05-27 23:49 - 2023-05-29 09:22 - 000000224 _____ C:\Users\Admin\Desktop\FILES ENCRYPTED.txt
    2023-05-27 23:49 - 2023-05-29 09:22 - 000000224 _____ C:\FILES ENCRYPTED.txt
    2023-05-27 09:50 - 2023-05-27 15:35 - 000094720 _____ C:\Windows\system32\winhost.exe
    FirewallRules: [{587751DE-9AA9-412F-8F78-3BEA9BCAD2A1}] => (Allow) LPort=3702
    FirewallRules: [{C2540A86-C131-49C0-AE74-BA7B5FEB2805}] => (Allow) LPort=9244
    FirewallRules: [{24E672E2-54F6-4DD2-9E6B-4038A7B6457C}] => (Allow) LPort=9100
    FirewallRules: [{B0404022-EE23-4D2A-8A58-44AA69A686C7}] => (Allow) LPort=427
    FirewallRules: [{8A9E7E2C-B441-4D0A-ACC1-A727206637D6}] => (Allow) LPort=161
    FirewallRules: [{7830F491-D929-40DB-9E3C-105A8BD4EA19}] => (Allow) LPort=427
    FirewallRules: [{7130D6B2-28A0-4394-9E48-52D054F0210B}] => (Allow) LPort=3389
    FirewallRules: [{4FAF4A93-1258-4BEA-81A0-28ACFAC027BC}] => (Allow) LPort=5357
    FirewallRules: [{2B4F755F-2E88-4F83-8DF3-9BC8EB18BF67}] => (Allow) LPort=3389
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Не нужно было трижды запускать скрипт, достаточно одного раза.

 

Проверьте уязвимые места и устаревшее критическое ПО:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.18314 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2016-05-22 00:00:19
Поэтому постарайтесь установить эти исправления, закрывающие дыры в системе. Иначе повторного заражения не избежать:

------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.40728.0 Данная программа больше не поддерживается разработчиком.
Microsoft .NET Framework 4.6.1 v.4.6.01055 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.7.8.2 Внимание! Скачать обновления
TeamViewer 11 v.11.0.259193 Внимание! Скачать обновления
OpenOffice 4.1.6 v.4.16.9790 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 20.02 alpha (x64) v.20.02 alpha Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
-------------------------- [ IMAndCollaborate ] ---------------------------
Telegram Desktop, версия 1.9.14 v.1.9.14 Внимание! Скачать обновления
Viber v.15.7.0.24 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
Radmin Server 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 86.0.1 (x64 ru) v.86.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.10 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Auslogics BoostSpeed 8 v.8.0.1.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты
  • 7 months later...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • egorik
      От egorik
      в записке вот такой текст.
      all your data has been locked us
      You want to return?
      write email cheese47@cock.li or cheese47@tutanota.com
      после перезапуска система упала в восстановление
      на другом пк пока не перезагружали, чуть позже приложу лог от программы.
      в приложении примеры файлов
      пример
      SQLQuery1.sql.id-D6799D34.[cheese47@cock.li].rar
    • Anton Aralov
      От Anton Aralov
      Взломали 11 компьютеров в сети.
      1) на большинстве машин не было админских прав
      2) пароль админа достаточно сложный для взлома( 12 знаков, цифры буквы символы)
      3) Шифровальщик удалил касперского со всех машин где он присутствовал.
      FRST.zip пример файлов.zip
    • triumf1975
      От triumf1975
      Здравствуйте, Всем.
      06.0912 нам зашифровали все файлы - *.id-1896DF03.[James2020m@aol.com].MUST. и так далее. Соответственно пострадали и базы 1с7. хотелось бы узнать есть какое решение этой проблемы. Заранее СПАСИБО.   



      Addition.txt FILES ENCRYPTED.txt FRST.txt
    • Yannikov
      От Yannikov
      На компьютере пользователя был запущен вирус-шифровальщик  Trojan-Ransom.Win32.Crusis.to. Вирус удалить удалось, но вот расшифровать файлы не получается. У всех зашифрованных файлов расширение rp09. 
      Пробовал расшифровать файлы с помощью RakhniDecryptor, т.к. в описании этого шифровальщика увидел, что он расшифровывает файлы, которые были зашифрованы вирусом Trojan-Ransom.Win32.Crusis (Dharma), но выборе зашифрованного файла пишет неверное расширение, причем указывает расширение не pr09, а .com]
      Название зашифрованного файла 
      Лист Microsoft Excel.xlsx.id-BCCA8E4F.[khfsuca@protonmail.com].pr09
    • ArataKun
      От ArataKun
      Здравствуйте.
      На моём компьютере поработал шифровальщик. К именам зашифрованных файлов после их расширения добавился текст "id-7E8FBAB9.[cl_crypt@aol.com].cl". В каждой папке появился файл "FILES ENCRYPTED.txt" со следующим содержимым:
       
      "all your data has been locked us
      You want to return?
      write email cl_crypt@aol.com or cl_crypt2@aol.com"
       
      Баннер с требованием выкупа был в файле "info.hta". Там ничего нового не сказано. Не знаю, можно ли прикрепить его на форуме, если, например, я поменяю расширение на TXT, или это будет нарушением. Но думаю, что это лишне.
      Обнаружилась проблема 3 дня назад. На машине стоял Kaspersky Security Cloud, но когда я подключился к компьютеру, антивирус не был запущен, а многие файлы в папке "Program Files (x86)" были также зашифрованы, поэтому я не смог запустить антивирус. Установил его заново, прошёлся сканером, тот удалил некоторые файлы. Среди них был "exploit.exe". К сожалению, выцепить его я не догадался, так что экзешника вируса у меня нет. После нескольких перезагрузок в течение этих дней баннер больше не появлялся и новые файлы не шифровались.
      Касперский в процессе сканирования определил "exploit.exe" как "Trojan-Ransome.Win32.Crusis.to". Пробовал расшифровать файлы утилитой "RakhniDecryptor", она выдаёт сообщение "Неподдерживаемый тип зашифрованного файла".
      Приложил к письму 2 архива:
      1. "FRST.7z". В нём результат работы Farbar Recovery Scan Tool.
      2. "encrypted_files.7z". В нём 2 зашифрованных вордовских файла и их оригиналы до шифрования (удалось найти).
       
      Надеюсь, что мои файлы реально будет расшифровать.
      encrypted_files.7z FRST.7z
×
×
  • Создать...