Перейти к содержанию

Рекомендуемые сообщения

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему без перезагрузки и завершит работу FRST

 

Start::
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
Task: {E0497B84-0A35-4D9B-B148-967C202DDC6E} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
2024-03-15 00:46 - 2024-03-15 00:46 - 000005923 _____ C:\Windows\SysWOW64\info.hta
2024-03-15 00:46 - 2024-03-15 00:46 - 000000392 _____ C:\Users\Restore-My-Files.txt
2024-03-15 00:45 - 2024-03-15 00:45 - 000110592 ___SH C:\ProgramData\s4v2xf3z.exe
2024-03-15 00:45 - 2024-03-15 00:45 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2024-03-15 00:45 - 2024-02-28 23:14 - 000556032 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-03-14 21:26 - 2024-03-15 00:45 - 000003232 _____ C:\Windows\system32\Tasks\BlackBit
2024-03-14 21:26 - 2024-03-14 21:26 - 000110592 ___SH C:\ProgramData\rvrlhquc.exe
2024-03-14 21:26 - 2024-02-28 23:14 - 000556032 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-03-14 21:26 - 2024-02-28 23:14 - 000556032 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-03-14 21:26 - 2024-03-14 21:26 - 000110592 ___SH () C:\ProgramData\rvrlhquc.exe
2024-03-15 00:45 - 2024-03-15 00:45 - 000110592 ___SH () C:\ProgramData\s4v2xf3z.exe
2024-03-14 21:26 - 2024-02-28 23:14 - 000556032 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-03-14 21:27 - 2024-03-14 21:27 - 000000393 _____ () C:\Program Files\Restore-My-Files.txt
2024-03-14 21:28 - 2024-03-14 21:28 - 000000393 _____ () C:\Program Files (x86)\Restore-My-Files.txt
2024-03-15 00:46 - 2024-03-15 00:46 - 000000392 _____ () C:\Users\monah\AppData\Local\Restore-My-Files.txt
End::


Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

 

Quote

системные приложения не запускаются

какие именно? возможно вместе с шифрованием система дополнительно заражена neshta. В этом случае надо пролечить систему с загрузочного диска KRD

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу uVS без перезагрузки системы.

Скрипт ниже:

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\WINLOGON.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINLOGON.EXE
apply

QUIT

После завершения работы uVS добавьте файл Дата_времяlog.txt из папки uVS

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • kemermax42
      От kemermax42
      Здравствуйте. Прошу помощи с шифровальщиком decryption@cock.lu
      Систему переставили, так как нужно было работать, файлы зашифрованные лежат на отдельном диске. 
      Подскажите что нужно отправить для помощи в расшифровке.
      Письмо вымогателя:
      >>>> Your data are encrypted ...
              All your files have been encrypted by Shuriken !!!
              
              To decrypt them send e-mail to this address : decryption@cock.lu
              
              If you do not receive a response within 24 hours, send an email to this address: decryption@cock.lu
              
              Need a quick decryption ? Send a telegram message @ShurikenAdmin
              
              
      >>>> Your DECRYPTION ID :  42*****
              Enter the ID of your files in the subject!
              
      >>>>  What is our decryption guarantee?
              Before paying you can send us up to 2 test files for free decryption !
              
              The total size of files must be less than 2Mb.(non archived) !
              
              Files should not contain valuable information.(databases,backups) !
              
              Compress the file with zip or 7zip or rar compression programs and send it to us!
      !!!Deleting "Cpriv.Shuriken" causes permanent data loss.
    • serioussd
      От serioussd
      Сервер поймал шифровальщик blackbit, прошу помощи в чистке сервера и возможной дешифровке файлов, пропали все программы, на сервере расположены базы 1с, postgresql  два файла.zipFixlog.txt   

    • Шевченко Максим
      От Шевченко Максим
      Сработал ночью в 5.50, на сервере стоял блок на пользователя при 3х попытках ввода пароля и блокировок по политике не было, но вирус затер все журналы винды до момента его отработки поэтому точно не могу сказать, остался *.hta файл может чем то поможет, но понимаю  чт Addition.txtо врятли. Стоял КЕС 12 эта бяка его снесла.
      FRST.txt Вирус.zip
    • Gupecology
      От Gupecology
      Взломали сервер и зашифровали файлы. Требуют выкуп. Из за чего непонятно, возможно взломали через rdp.FRST.txtAddition.txtАрхив WinRAR.rar
    • PRB84
      От PRB84
      Здравствуйте. Зашифровало все файлы на сервере и на некоторых рабочих компьютерах.
×
×
  • Создать...