[COLOR=#333333]Добрый день! Помогите обезвредить пжл систему.
[/COLOR]Оригинальные файлы могу предоставить. Сколько стоит расшифровка?
[COLOR=#333333]Добрый день! Помогите обезвредить пжл систему.
[/COLOR]Оригинальные файлы могу предоставить. Сколько стоит расшифровка?
Уважаемый(ая) [B]Legerun_B[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
С расшифровкой не поможем.
HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
O4 - MSConfig\startupreg: 1St.exe [command] = C:\Users\Администратор\AppData\Roaming\1St.exe (HKLM) (2018/12/06)
O4 - Startup other users: C:\Users\TEST\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1St.exe -> (PE EXE)
O26 - Debugger: HKLM\..\Magnify.exe: [Debugger] = C:\windows\fonts\winlogo.exe
O26 - Debugger: HKLM\..\narrator.exe: [Debugger] = C:\windows\fonts\winlogo.exe
O26 - Debugger: HKLM\..\osk.exe: [Debugger] = C:\windows\fonts\winlogo.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\fonts\winlogo.exe
[/CODE]
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
StopService('WMIUpdateService');
DeleteService('WMIUpdateService');
QuarantineFile('C:\Windows\Temp\ntshrui.dll','');
QuarantineFile('C:\windows\fonts\winlogo.exe','');
QuarantineFile('C:\Users\Администратор\AppData\Roaming\1St.exe','');
QuarantineFile('C:\Windows\conhost\conhost.exe','');
QuarantineFile('C:\Windows\Inf\BITSLIB\0010\0011\000A\0010\vps.exe','');
QuarantineFile('C:\Windows\Inf\ASP.NET_2.5.5.50728\0010\0011\000A\0010\mms.exe','');
QuarantineFile('C:\Windows\Inf\ASP.NET_2.5.5.50728\0010\0011\000E\0015\mms.exe','');
DeleteFile('C:\Windows\conhost\conhost.exe','32');
DeleteFile('C:\Users\Администратор\AppData\Roaming\1St.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1St.exe','command');
DeleteFile('C:\windows\fonts\winlogo.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
end.
[/CODE]
После выполнения скрипта перегрузите сервер вручную.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
прикрепил отчёты
Да уж шифровальщик много файлов испортил, очень много в логах присутствуют ссылок на несуществующие объекты.
[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Start::
CreateRestorePoint:
File: C:\Windows\Temp\ntshrui.dll
File: C:\Windows\mod_frst.exe
Zip: C:\Windows\Temp\ntshrui.dll;C:\Windows\mod_frst.exe
S2 ndshw; C:\Windows\Inf\ASP.NET_2.5.5.50728\0010\0011\000E\0015\mms.exe [X]
S2 vlfsc; C:\Windows\Inf\NETLIB\000D\1049\5.0\SQL\lsm.exe [X]
S2 vvmms; C:\Windows\Inf\ASP.NET_2.5.5.50728\0010\0011\000A\0010\mms.exe [X]
S2 wmdfs; C:\Windows\Inf\BITSLIB\0010\0011\000A\0010\vps.exe [X]
2018-12-06 14:05 - 2018-12-06 14:57 - 000094720 _____ C:\Windows\system32\1St.exe
2018-12-06 08:41 - 2018-12-13 17:02 - 000000000 ____D C:\Windows\conhost
2018-12-06 15:06 - 2016-05-05 13:27 - 000000000 ____D C:\Users\Все пользователи\SecTaskMan
2018-12-06 15:06 - 2016-05-05 13:27 - 000000000 ____D C:\ProgramData\SecTaskMan
2013-12-31 09:58 - 2013-12-31 09:58 - 000012288 _____ () C:\Users\Администратор\AppData\Local\Temp\QDowegvFwGUbNBILHBgI.DLL
2016-12-23 13:19 - 2016-12-23 13:19 - 000187240 _____ () C:\Users\Белов\AppData\Local\Temp\downloader.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\43779819.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\FastUserSwitchingCompatibility => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\43779819.sys => ""="Driver
MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^1St.exe => C:\Windows\pss\1St.exe.CommonStartup
MSCONFIG\startupfolder: C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^1St.exe => C:\Windows\pss\1St.exe.Startup
End::
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что сервер возможно будет [b]перезагружен[/b].[/LIST]
На рабочем столе образуется карантин вида [B]<date>.zip[/B] загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
fixlog
[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Start::
CreateRestorePoint:
S2 FastUserSwitchingCompatibility; C:\Windows\Temp\ntshrui.dll [X]
File: C:\Windows\mod_frst.exe
2017-07-17 20:30 - 2017-07-17 20:30 - 000863744 _____ () C:\Windows\mod_frst.exe
End::
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что сервер возможно будет [b]перезагружен[/b].[/LIST]
fixlog
Как ранее было указанно у нас нет возможности вам помочь с расшифровой. Пробуйте обратиться к антивирусным вендорам за помощью (например в Kaspersky Lab при наличие лицензии на их продукты).
Спасибо
Не удаляйте карантин который находится C:\FRST пока не решите вопрос с расшифровкой, т.к. антиврусные вендоры могу запросить их.
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]1[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]3[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] c:\users\=E0=E4=EC=E8=ED=E8=F1=F2=F0=E0=F2=EE=F0\appdata\roami=
ng\1st.exe - [B]Trojan-Ransom.Win32.Crusis.to[/B] ( BitDefender: Gen:=
Trojan.Heur.FU.fmW@aaAaGKm, AVAST4: Win32:Malware-gen )[*] c:\windows\conhost\conhost.exe - [B]UDS:DangerousObject.Multi.G=
eneric[/B][*] c:\windows\fonts\winlogo.exe - [B]UDS:DangerousObject.Multi.Gen=
eric[/B][/LIST][/LIST]