crysis Шифровальщик id-744C1619.[openpgp@foxmail.com].pgp

[BkmzCv 0]

Видел похожую тему, но если правильно понял, то нужно создать свою отдельную, так как настройки индивидуальные. 

На компе появился зловред и большую часть файлов переименовал. 

История событий. Примерно полтора часа назад в "моем компьюторе" стали видимыми системные диска А и В, при этом диски C, D и внешний жеский J оказались в общем доступе. Пользователь сразу отключил комп от сети, потом убрал общий доступ к дискам. После этого сказал мне, что большая часть файлов недоступна. 

Ни в одной папке не оказалось файлика с требованиями, по этому его не могу добавить. Но за то в файле hostes появилась уйма сайтов, его на всякий случай тоже прилагаю. Сам файл вируса не смогли пока обнаружить. 

Addition.txt FRST.txt host.txt Palto_03.jpg.id-744C1619.[openpgp@foxmail.com].zip

[Sandor 1 249]

Здравствуйте!

 

Вынужден огорчить - это Crusis или Dharma (.cezar Family), расшифровки нет.

В системе также есть следы майнера. Будем чистить.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  
  () [File not signed] [File is in use] C:\ProgramData\Windows\rutserv.exe
  (Realtek Semiconductor) [File not signed] [File is in use] C:\ProgramData\RealtekHD\taskhostw.exe
  HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe [3027968 2020-05-03] (Realtek Semiconductor) [File not signed] [File is in use] <==== ATTENTION
  HKLM\...\Run: [1pgp.exe] => C:\Users\Alexander\AppData\Roaming\1pgp.exe
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize 
  HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer: [DisallowRun] 1
  HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
  HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
  HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
  HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
  HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
  HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
  HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
  HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
  HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
  HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
  HKU\S-1-5-21-4286488966-3068968956-327827636-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1pgp.exe [2020-06-30] () [File not signed] [File is in use]
  Task: {2195C531-5EEC-4BA0-BA01-3F6F042485CE} - System32\Tasks\Microsoft\Windows\Wininet\SystemC => C:\Programdata\RealtekHD\taskhostw.exe [3027968 2020-05-03] (Realtek Semiconductor) [File not signed] [File is in use] <==== ATTENTION
  Task: {3CF57145-45CE-499B-8012-033978675041} - System32\Tasks\Microsoft\Windows\Wininet\Taskhostw => C:\Programdata\RealtekHD\taskhostw.exe [3027968 2020-05-03] (Realtek Semiconductor) [File not signed] [File is in use] <==== ATTENTION
  Task: {82F0DE2A-C5FD-4531-B712-84C3A21FC6C7} - System32\Tasks\Microsoft\Windows\Wininet\Taskhost => C:\Programdata\RealtekHD\taskhostw.exe [3027968 2020-05-03] (Realtek Semiconductor) [File not signed] [File is in use] <==== ATTENTION
  Task: {FA4273C2-6377-4442-8DC9-FE08D57D56C2} - System32\Tasks\Microsoft\Windows\Wininet\Cleaner => C:\Programdata\WindowsTask\winlogon.exe [390144 2019-04-19] () [File not signed] [File is in use] <==== ATTENTION
  FF ExtraCheck: C:\Program Files\mozilla firefox\cck2.cfg [2018-09-19] <==== ATTENTION
  R2 RManService; C:\ProgramData\Windows\rutserv.exe [1789440 2016-01-23] () [File not signed] [File is in use]
  2020-06-30 13:49 - 2020-06-30 13:49 - 000001008 _____ C:\rdpwrap.txt
  2020-06-30 13:46 - 2010-09-20 22:47 - 000451221 _____ (Swan River Computers) C:\Users\john\Desktop\openpgp@foxmail.com.exe
  2020-06-30 13:42 - 2020-06-30 13:42 - 000094720 _____ C:\Windows\system32\1pgp.exe
  2020-06-03 13:27 - 2020-06-03 13:27 - 000000000 __SHD C:\rdp
  2020-06-03 13:27 - 2020-06-03 13:27 - 000000000 ___HD C:\Program Files\RDP Wrapper
  2020-06-02 18:37 - 2020-06-03 13:27 - 000000000 __SHD C:\ProgramData\WindowsTask
  2020-06-02 18:37 - 2020-06-03 13:27 - 000000000 __SHD C:\ProgramData\Windows
  2020-06-02 18:37 - 2020-06-03 13:27 - 000000000 __SHD C:\ProgramData\RealtekHD
  2020-06-02 18:37 - 2020-06-03 13:27 - 000000000 __SHD C:\ProgramData\install
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\ProgramData\RunDLL
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\ProgramData\Norton
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\ProgramData\McAfee
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\ProgramData\grizzly
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\ProgramData\ESET
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\ProgramData\AVAST Software
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\ProgramData\360safe
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files\SpyHunter
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files\Malwarebytes
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files\Kaspersky Lab
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files\ESET
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files\Enigma Software Group
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files\COMODO
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files\Common Files\McAfee
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files\Cezurity
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files\ByteFence
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files\AVG
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files\AVAST Software
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files (x86)\Panda Security
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files (x86)\Cezurity
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files (x86)\AVG
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\Program Files (x86)\360
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\KVRT_Data
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 __SHD C:\AdwCleaner
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 ____D C:\Windows\speechstracing
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 ____D C:\ProgramData\System32
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 ____D C:\ProgramData\MB3Install
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 ____D C:\ProgramData\Malwarebytes
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 ____D C:\ProgramData\Indus
  2020-06-02 18:37 - 2020-06-02 18:37 - 000000000 ____D C:\ProgramData\Avira
  2020-05-08 19:52 - 2017-12-27 22:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe
  FirewallRules: [{D89F066B-10FB-4B9B-83F1-DCA62A98C5F7}] => (Allow) C:\Users\Alexander\AppData\Local\Temp\DriverPack-20200602181456\tools\aria2c.exe => No File
  FirewallRules: [{986DACBD-63AD-4621-B486-FC24EB589C9D}] => (Allow) C:\Users\Alexander\AppData\Roaming\DRPSu\Alice\cloud.exe (DriverPack Solution) [File not signed] [File is in use]
  FirewallRules: [{245A7AF2-99CE-454D-8DE8-057085803944}] => (Block) LPort=445
  FirewallRules: [{4A0ED93C-BF66-4461-9DB3-674AA5C1BF21}] => (Block) LPort=445
  FirewallRules: [{38DDD849-1053-4D42-996B-CAB0EF2B5A41}] => (Block) LPort=139
  FirewallRules: [{50FFDEE4-1DFD-435C-AFD7-F49D46928494}] => (Block) LPort=139
  FirewallRules: [{CCD355F1-CE91-47FA-9F54-A7BA79409E91}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe (Microsoft Corporation) [File not signed] [File is in use]
  FirewallRules: [{D8FB1980-7C85-4BE4-AB7C-B5ACF5DD3A3F}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe (Microsoft Corporation) [File not signed] [File is in use]
  FirewallRules: [{6B234E2A-92BE-4FDF-ACA2-2757A556BA19}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
  FirewallRules: [{F99CACC1-9CCF-4202-BB82-C7B7FB551C22}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe (Microsoft Corporation) [File not signed] [File is in use]
  FirewallRules: [{13196038-9577-4A54-A061-D57CD3E9CAB4}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe (Microsoft Corporation) [File not signed] [File is in use]
  FirewallRules: [{058B7ECB-3C46-4558-AB9D-9CFA52215AEA}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
  FirewallRules: [{FB8FEA27-CA59-4F61-BF44-AB763A6F17DA}] => (Allow) LPort=9494
  FirewallRules: [{B5C48538-860F-4448-9388-C0FEA1446DF7}] => (Allow) LPort=9393
  FirewallRules: [{5FA19C28-C807-42BC-BF40-992057726D78}] => (Allow) LPort=9494
  FirewallRules: [{FF4274A9-E5BE-4A57-AB55-D84A2748539D}] => (Allow) LPort=9393
  FirewallRules: [{C5268424-2E60-41C8-B8B5-807742BC70A9}] => (Allow) C:\ProgramData\Windows\rutserv.exe () [File not signed] [File is in use]
  FirewallRules: [{744E9DF7-9301-483C-AB34-91D4E62ECCE4}] => (Block) LPort=445
  FirewallRules: [{FCAA143F-B92C-4212-959D-E9CF0A8635D7}] => (Block) LPort=445
  FirewallRules: [{70B21903-CE47-4C2F-83CD-9B4D4D37817C}] => (Block) LPort=139
  FirewallRules: [{46A16609-50E8-4D5D-A9EB-008289392569}] => (Block) LPort=139
  FirewallRules: [{5892A4A6-6D34-4B6D-95B0-A40A47EB981A}] => (Allow) LPort=3389
  FirewallRules: [{3CB31B43-9182-4954-843F-4962E7AFA56F}] => (Allow) LPort=3389
  Reboot:
  End::

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
  

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Учетная запись john (S-1-5-21-4286488966-3068968956-327827636-1002 - Administrator - Enabled) => C:\Users\john - скорее всего вам неизвестна. Отключите и удалите.

Смените пароль на RDP.

[thyrex 1 468]

+ В другой Вашей теме другой компьютер? 

[BkmzCv 0]

28 минут назад, thyrex сказал:

+ В другой Вашей теме другой компьютер? 

Да, там всё расписал. 

 

 

Fixlog.txt

[Sandor 1 249]

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[BkmzCv 0]

Сделал. Отправил всё в карантин и комп перезагружается

AdwCleaner[S01].txt

[Sandor 1 249]

Покажете отчёт с символом Cxx.

[BkmzCv 0]

Вот

AdwCleaner[C01].txt

[Евгений22331 0]

Sandor доброго времени суток.Хотелось бы узнать стоит ли ожидать дешифратор?или всё же нереально победить этот вирус?встала вся работа,нужно спасти ворд фалы

[Sandor 1 249]

@Евгений22331,

1. Не нарушайте правила раздела.

2. Ждать дешифратор не стоит. Бывает, что вымогатели сами выкладывают ключи через несколько лет, но случается такое очень редко.

 

@BkmzCv, проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

Изменено 1 июля, 2020 пользователем Sandor

[BkmzCv 0]

SecurityCheck.txt

 

А, ну и в целом я знаю главную причину этих проблем. На одном компе на РДП пароль был "1", а на втором вообще пароля не было. Естественно такого больше не произойдет. 

И очень важный момент - Вы сказали, что есть признаки майнера, а как от этого избавиться?

Изменено 1 июля, 2020 пользователем BkmzCv

[Sandor 1 249]

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.61 (32-разрядная) v.5.61.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45672 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
 

 

Читайте Рекомендации после удаления вредоносного ПО