шифровальщик [UDS:DangerousObject.Multi.Generic, Trojan-Ransom.Win32.Crusis.to]

[Legerun_B]

Добрый день! Помогите обезвредить пжл систему.
Оригинальные файлы могу предоставить. Сколько стоит расшифровка?

[Info_bot]

Уважаемый(ая) Legerun_B, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

С расшифровкой не поможем.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

O4 - MSConfig\startupreg: 1St.exe [command] = C:\Users\Администратор\AppData\Roaming\1St.exe (HKLM) (2018/12/06)
O4 - Startup other users: C:\Users\TEST\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1St.exe    ->    (PE EXE)
O26 - Debugger: HKLM\..\Magnify.exe: [Debugger] = C:\windows\fonts\winlogo.exe
O26 - Debugger: HKLM\..\narrator.exe: [Debugger] = C:\windows\fonts\winlogo.exe
O26 - Debugger: HKLM\..\osk.exe: [Debugger] = C:\windows\fonts\winlogo.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\fonts\winlogo.exe

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
 StopService('WMIUpdateService');
 DeleteService('WMIUpdateService');
 QuarantineFile('C:\Windows\Temp\ntshrui.dll','');
 QuarantineFile('C:\windows\fonts\winlogo.exe','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\1St.exe','');
 QuarantineFile('C:\Windows\conhost\conhost.exe','');
 QuarantineFile('C:\Windows\Inf\BITSLIB\0010\0011\000A\0010\vps.exe','');
 QuarantineFile('C:\Windows\Inf\ASP.NET_2.5.5.50728\0010\0011\000A\0010\mms.exe','');
 QuarantineFile('C:\Windows\Inf\ASP.NET_2.5.5.50728\0010\0011\000E\0015\mms.exe','');
 DeleteFile('C:\Windows\conhost\conhost.exe','32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\1St.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1St.exe','command');
 DeleteFile('C:\windows\fonts\winlogo.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
 ExecuteRepair(9);
BC_Activate;
end.

После выполнения скрипта перегрузите сервер вручную.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Legerun_B]

прикрепил отчёты

[SQ]

Да уж шифровальщик много файлов испортил, очень много в логах присутствуют ссылок на несуществующие объекты.

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  Start::
  CreateRestorePoint:
  File: C:\Windows\Temp\ntshrui.dll
  File: C:\Windows\mod_frst.exe
  Zip: C:\Windows\Temp\ntshrui.dll;C:\Windows\mod_frst.exe
  S2 ndshw; C:\Windows\Inf\ASP.NET_2.5.5.50728\0010\0011\000E\0015\mms.exe [X]
  S2 vlfsc; C:\Windows\Inf\NETLIB\000D\1049\5.0\SQL\lsm.exe [X]
  S2 vvmms; C:\Windows\Inf\ASP.NET_2.5.5.50728\0010\0011\000A\0010\mms.exe [X]
  S2 wmdfs; C:\Windows\Inf\BITSLIB\0010\0011\000A\0010\vps.exe [X]
  2018-12-06 14:05 - 2018-12-06 14:57 - 000094720 _____ C:\Windows\system32\1St.exe
  2018-12-06 08:41 - 2018-12-13 17:02 - 000000000 ____D C:\Windows\conhost
  2018-12-06 15:06 - 2016-05-05 13:27 - 000000000 ____D C:\Users\Все пользователи\SecTaskMan
  2018-12-06 15:06 - 2016-05-05 13:27 - 000000000 ____D C:\ProgramData\SecTaskMan
  2013-12-31 09:58 - 2013-12-31 09:58 - 000012288 _____ () C:\Users\Администратор\AppData\Local\Temp\QDowegvFwGUbNBILHBgI.DLL
  2016-12-23 13:19 - 2016-12-23 13:19 - 000187240 _____ () C:\Users\Белов\AppData\Local\Temp\downloader.exe
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\43779819.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\FastUserSwitchingCompatibility => ""="Service"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\43779819.sys => ""="Driver
  MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^1St.exe => C:\Windows\pss\1St.exe.CommonStartup
  MSCONFIG\startupfolder: C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^1St.exe => C:\Windows\pss\1St.exe.Startup
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что сервер возможно будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

[Legerun_B]

fixlog

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  Start::
  CreateRestorePoint:
  S2 FastUserSwitchingCompatibility; C:\Windows\Temp\ntshrui.dll [X]
  File: C:\Windows\mod_frst.exe
  2017-07-17 20:30 - 2017-07-17 20:30 - 000863744 _____ () C:\Windows\mod_frst.exe
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что сервер возможно будет перезагружен.

[Legerun_B]

fixlog

[SQ]

Как ранее было указанно у нас нет возможности вам помочь с расшифровой. Пробуйте обратиться к антивирусным вендорам за помощью (например в Kaspersky Lab при наличие лицензии на их продукты).

[Legerun_B]

Спасибо

[SQ]

Не удаляйте карантин который находится C:\FRST пока не решите вопрос с расшифровкой, т.к. антиврусные вендоры могу запросить их.

[CyberHelper]

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

• =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
• =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 3
• =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
  =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
  
  1. c:\users\=E0=E4=EC=E8=ED=E8=F1=F2=F0=E0=F2=EE=F0\a ppdata\roami=
     ng\1st.exe - Trojan-Ransom.Win32.Crusis.to ( BitDefender: Gen:=
     Trojan.Heur.FU.fmW@aaAaGKm, AVAST4: Win32:Malware-gen )
  2. c:\windows\conhost\conhost.exe - UDS:DangerousObject.Multi.G=
     eneric
  3. c:\windows\fonts\winlogo.exe - UDS:DangerousObject.Multi.Gen=
     eric