Перейти к содержанию

Рекомендуемые сообщения

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему без перезагрузки и завершит работу FRST

 

Start::
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
Task: {E0497B84-0A35-4D9B-B148-967C202DDC6E} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
2024-03-15 00:46 - 2024-03-15 00:46 - 000005923 _____ C:\Windows\SysWOW64\info.hta
2024-03-15 00:46 - 2024-03-15 00:46 - 000000392 _____ C:\Users\Restore-My-Files.txt
2024-03-15 00:45 - 2024-03-15 00:45 - 000110592 ___SH C:\ProgramData\s4v2xf3z.exe
2024-03-15 00:45 - 2024-03-15 00:45 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2024-03-15 00:45 - 2024-02-28 23:14 - 000556032 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-03-14 21:26 - 2024-03-15 00:45 - 000003232 _____ C:\Windows\system32\Tasks\BlackBit
2024-03-14 21:26 - 2024-03-14 21:26 - 000110592 ___SH C:\ProgramData\rvrlhquc.exe
2024-03-14 21:26 - 2024-02-28 23:14 - 000556032 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-03-14 21:26 - 2024-02-28 23:14 - 000556032 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-03-14 21:26 - 2024-03-14 21:26 - 000110592 ___SH () C:\ProgramData\rvrlhquc.exe
2024-03-15 00:45 - 2024-03-15 00:45 - 000110592 ___SH () C:\ProgramData\s4v2xf3z.exe
2024-03-14 21:26 - 2024-02-28 23:14 - 000556032 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-03-14 21:27 - 2024-03-14 21:27 - 000000393 _____ () C:\Program Files\Restore-My-Files.txt
2024-03-14 21:28 - 2024-03-14 21:28 - 000000393 _____ () C:\Program Files (x86)\Restore-My-Files.txt
2024-03-15 00:46 - 2024-03-15 00:46 - 000000392 _____ () C:\Users\monah\AppData\Local\Restore-My-Files.txt
End::


Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

 

Quote

системные приложения не запускаются

какие именно? возможно вместе с шифрованием система дополнительно заражена neshta. В этом случае надо пролечить систему с загрузочного диска KRD

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу uVS без перезагрузки системы.

Скрипт ниже:

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\WINLOGON.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINLOGON.EXE
apply

QUIT

После завершения работы uVS добавьте файл Дата_времяlog.txt из папки uVS

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Макаров Дмитрий
      От Макаров Дмитрий
      Здравствуйте. Несколько сетевых хранилищ были поражены шифровальщиком [medoosa@onionmail.org] и файлы приобрели расширение .BlackBit . Файл вируса остался (во время обнаружили). На момент сканирования Farbar Recovery Scan Tool сетевой диск был отключен.
      FRST.txt Addition.txt Зашифрованный пример.rar те же файлы не зашифрованные.rar
    • Валерий Б
      От Валерий Б
      Доброго времени суток. На компьютере сработал троян и зашифровал файлы. Касперский обнаружил его поди именем VHO:Trojan-Ransom.MSIL.Loki.e.
      Шифрует файлы под именем: [RecoverBlackBit@onionmail.org][78C84540]**********.xlsx.BlackBit (звездочками закрыл название файла)
      и есть такие: [RecoverBlackBit@onionmail.org][78C84540]************.txt.[dectokyo@onionmail.org].[36D80101].RYK.BlackBit
      В папке оставляет файл Restore-My-Files.txt
      с таким текстом:
      !!!All of your files are encrypted!!!
      To decrypt them send e-mail to this address: RecoverBlackBit@onionmail.org
      In case of no answer in 24h, send e-mail to this address: RecoverBlackBit@onionmail.org
      All your files will be lost on 25 ноября 2023 г. 8:58:50.
      Your SYSTEM ID : 78C84540
      !!!Deleting "Cpriv.BlackBit" causes permanent data loss.
       
      Подскажите, есть шансы восстановить информацию?
    • denis12345
      От denis12345
      Help me! сегодня взломали и подсадили шифровальщика BlackBit, файлы особо не важны, но срочно нужно восстановление базы 1С, вся работа предприятия парализована. Может кто-то уже сталкивался и расшифровывал, подскажите методы или ? Заранее спасибо!
    • Ivannnnnn
      От Ivannnnnn
      Здравствуйте, подцепил вирус Shuriken зашифровал файлы, сделали сканирование с помощью программы FRST, после сканирования прога выдала эти файлы, что они значат и что можно сделать?
       
    • Samoxval
      От Samoxval
      Прошу помочь если возможно расшифровать

×
×
  • Создать...