Перейти к содержимому


Фотография
- - - - -

Словил bitcoin@email.tg].ncov

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
В теме одно сообщение

#1 OFF   adnan30

adnan30

    Новичок

  • Новички
  • Cообщений: 1

Отправлено 19 March 2020 - 18:20

Словил на сервере вирус, файлы из программы FRST прикрепил

Есть ли шансы на расшифровку?

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   39.42К   скачиваний 1
  • Прикрепленный файл  FRST.txt   131.43К   скачиваний 1

  • 0

#2 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 4039

Отправлено 19 March 2020 - 18:40

Словил на сервере вирус, файлы из программы FRST прикрепил

Есть ли шансы на расшифровку?

Добрый день,

Похоже на разновидность Dharna, для нее к сожалению расшифровки нет.

Для удаление шифровальщик и хвостов, выполните следущий фикс.

 

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::
    Start::
    CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
    CreateRestorePoint:
    CloseProcesses:
    File: C:\Windows\System32\1btc.exe
    HKLM\...\Run: [1btc.exe] => C:\Windows\System32\1btc.exe [94720 2020-03-19] () [File not signed]
    Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1btc.exe [2020-03-19] () [File not signed]
    Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-19] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1btc.exe [2020-03-19] () [File not signed]
    2020-03-19 16:49 - 2020-03-19 16:49 - 000000166 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2020-03-19 16:49 - 2020-03-19 16:49 - 000000166 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2020-03-19 16:49 - 2020-03-19 16:49 - 000000166 _____ C:\FILES ENCRYPTED.txt
    2020-03-19 16:26 - 2020-03-19 16:34 - 000094720 _____ C:\Windows\system32\1btc.exe
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что компьютер будет перезагружен.

  • 0




Количество пользователей, читающих эту тему: 1

0 пользователей, 0 гостей, 0 анонимных


    Mail.ru (1)