crusis Шифровальщик just

[Aleksandr63]

Здравствуйте! зашифровало всё

Новая папка.7z FRST.txt

Изменено 29 мая, 2023 пользователем Aleksandr63
добавление файлов

[Aleksandr63]

KVRT:

Trojan-Ransom.Win32.Crusis.to
C:\Windows\System32\winhost.exe
Троянская программа
    MD5:  2C492DA142DD08FF4A52FC3FEB2F94F2
    SHA256:  D58B0A61C6B48BB171B19BBD82A31454102D02E5C224DF69E5EC37B7E2658D91

[Sandor]

Здравствуйте!

 

10 минут назад, Aleksandr63 сказал:

KVRT:

Trojan-Ransom.Win32.Crusis.to

Верно. Расшифровки нет, к сожалению.

 

Если нужна наша помощь в очистке системы от его следов, добавьте лог Addition.txt, пожалуйста.

[Aleksandr63]

очень и очень печально.

 

Addition_29-05-2023 11.01.08.txt

[Sandor]

Лог FRST.txt из вашего первого сообщения был создан 27.05. Если есть сегодняшний, тоже его прикрепите.

[Aleksandr63]

это версия от 27, файл сегодняшний

 

[Sandor]

6 минут назад, Sandor сказал:

Лог FRST.txt из вашего первого сообщения

То, что лог Addition.txt сегодняшний я видел.

[Aleksandr63]

FRST_29-05-2023 11.01.08.txt

[Sandor]

Прошу прощения, не туда посмотрел, спутал с датой версии программы

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  (explorer.exe ->) () [Файл не подписан] C:\Windows\System32\winhost.exe
  HKLM\...\Run: [winhost.exe] => C:\Users\Admin\AppData\Roaming\winhost.exe [94720 2023-05-29] () [Файл не подписан]
  HKLM\...\Run: [C:\Windows\System32\Info.hta] => mshta.exe "C:\Windows\System32\Info.hta" [7225 2023-05-29] () [Файл не подписан]
  HKLM\...\Run: [C:\Users\Admin\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\Admin\AppData\Roaming\Info.hta" [7225 2023-05-29] () [Файл не подписан]
  HKLM-x32\...\Run: [SunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" (Нет файла)
  HKLM\...\RunOnce: [c76d53a9-0b6c-4934-ab2e-e6c2c0e7890b] => "C:\Users\Admin\AppData\Local\Temp\{4781759a-0943-4244-98bd-27df7e4d994d}\c76d53a9-0b6c-4934-ab2e-e6c2c0e7890b.cmd" (Нет файла) <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2023-05-29] () [Файл не подписан]
  Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe [2023-05-29] () [Файл не подписан]
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2023-05-29] () [Файл не подписан]
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winhost.exe [2023-05-29] () [Файл не подписан]
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  2023-05-29 09:16 - 2023-05-29 09:16 - 000094720 _____ C:\Users\Admin\AppData\Roaming\winhost.exe
  2023-05-27 23:49 - 2023-05-29 09:22 - 000007225 _____ C:\Windows\system32\Info.hta
  2023-05-27 23:49 - 2023-05-29 09:22 - 000007225 _____ C:\Users\Admin\AppData\Roaming\Info.hta
  2023-05-27 23:49 - 2023-05-29 09:22 - 000000224 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
  2023-05-27 23:49 - 2023-05-29 09:22 - 000000224 _____ C:\Users\FILES ENCRYPTED.txt
  2023-05-27 23:49 - 2023-05-29 09:22 - 000000224 _____ C:\Users\Admin\Desktop\FILES ENCRYPTED.txt
  2023-05-27 23:49 - 2023-05-29 09:22 - 000000224 _____ C:\FILES ENCRYPTED.txt
  2023-05-27 09:50 - 2023-05-27 15:35 - 000094720 _____ C:\Windows\system32\winhost.exe
  FirewallRules: [{587751DE-9AA9-412F-8F78-3BEA9BCAD2A1}] => (Allow) LPort=3702
  FirewallRules: [{C2540A86-C131-49C0-AE74-BA7B5FEB2805}] => (Allow) LPort=9244
  FirewallRules: [{24E672E2-54F6-4DD2-9E6B-4038A7B6457C}] => (Allow) LPort=9100
  FirewallRules: [{B0404022-EE23-4D2A-8A58-44AA69A686C7}] => (Allow) LPort=427
  FirewallRules: [{8A9E7E2C-B441-4D0A-ACC1-A727206637D6}] => (Allow) LPort=161
  FirewallRules: [{7830F491-D929-40DB-9E3C-105A8BD4EA19}] => (Allow) LPort=427
  FirewallRules: [{7130D6B2-28A0-4394-9E48-52D054F0210B}] => (Allow) LPort=3389
  FirewallRules: [{4FAF4A93-1258-4BEA-81A0-28ACFAC027BC}] => (Allow) LPort=5357
  FirewallRules: [{2B4F755F-2E88-4F83-8DF3-9BC8EB18BF67}] => (Allow) LPort=3389
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Aleksandr63]

Fixlog.txt

[Sandor]

Не нужно было трижды запускать скрипт, достаточно одного раза.

 

Проверьте уязвимые места и устаревшее критическое ПО:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Aleksandr63]

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.18314 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2016-05-22 00:00:19
Поэтому постарайтесь установить эти исправления, закрывающие дыры в системе. Иначе повторного заражения не избежать:

------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.40728.0 Данная программа больше не поддерживается разработчиком.
Microsoft .NET Framework 4.6.1 v.4.6.01055 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.7.8.2 Внимание! Скачать обновления
TeamViewer 11 v.11.0.259193 Внимание! Скачать обновления
OpenOffice 4.1.6 v.4.16.9790 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 20.02 alpha (x64) v.20.02 alpha Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
-------------------------- [ IMAndCollaborate ] ---------------------------
Telegram Desktop, версия 1.9.14 v.1.9.14 Внимание! Скачать обновления
Viber v.15.7.0.24 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
Radmin Server 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 86.0.1 (x64 ru) v.86.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.10 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Auslogics BoostSpeed 8 v.8.0.1.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

 

Читайте Рекомендации после удаления вредоносного ПО

[Aleksandr63]

Спасибо.

[Aleksandr63]

апну на всякий, не появилось ли случаем дешифратора?