Перейти к содержанию
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

Вирус с названием DARKSTAR. mNZqvBj0Q

AndreyBN
 Поделиться

Рекомендуемые сообщения

AndreyBN Новичок

AndreyBN

Опубликовано
Опубликовано

Здравствуйте. Заразился компьютер примерно в выходные  (28.04.24) когда был подключен к удаленному рабочему столу. Хотелось восстановить файлы. Пароль на архив - virus

virus.rar FRST.txt Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

По очистке системы выполните в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

  

Start::
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}" был разблокирован. <==== ВНИМАНИЕ
"C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}" был разблокирован. <==== ВНИМАНИЕ
Task: {25F2F720-8357-45ED-BD7F-1C55F753DE2F} - System32\Tasks\netlogon => C:\Windows\system32\cmd.exe [289792 2019-12-07] (Microsoft Windows -> Microsoft Corporation) -> /c \\***\netlogon\ds.exe -pass 12abeef955e1c76cce1c360ddd6de103
Task: {9133E01F-0CC8-417C-9A9B-E8BB713DAA93} - System32\Tasks\programdata => C:\Windows\system32\cmd.exe [289792 2019-12-07] (Microsoft Windows -> Microsoft Corporation) ->
2024-04-29 04:52 - 2024-04-29 16:32 - 000003166 _____ C:\Windows\system32\Tasks\programdata
2024-04-29 04:52 - 2024-04-29 04:52 - 000003542 _____ C:\Windows\system32\Tasks\netlogon
2024-04-29 02:23 - 2024-04-29 02:21 - 000000355 _____ C:\Users\Public\1.ps1
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
28 minutes ago, AndreyBN said:

https://disk.yandex.ru/d/4iGq8oZE4Fw3LQ

1.ps1 использовался для удаления антивирусной программы.

По расшифровке файлов не сможем помочь по данному типу шифровальщика.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Антон321
      Приветствую, словил майнер по названием: tool.btcmine.2782
      Автор Антон321
      Приветствую, словил майнер по названием: tool.btcmine.2782, уже всем подрят пытался удалить и никак не выходит, касперский вообще не запускаеться, WEb находит говорит что удалил но через 2 минуты снова вылазит!! Помогите
      CollectionLog-2025.03.24-17.26.zip
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Licueur
      [РЕШЕНО] Приветствую, словил майнер по названием: tool.btcmine.2782 .
      Автор Licueur
      Всех приветствую, на днях словил майнер tool.btcmine.2782, пытался удалить через dr.web, не получается, майнер все равно появляется. Просьба помочь удалить майнер, буду рад вашей помощи.
      CollectionLog-2025.03.20-22.01.zip
    • nooky910
      [РЕШЕНО] Бесконечный вирус
      Автор nooky910
      Добрый день. Заметил, что при играх резкая просадка фпс началась. Лечил 2 таблетками, но безуспешно. Бесконечно создается сам. Так же был замечен xmring miner, но таблетка его вроде пыталась удалить. 


       
      CollectionLog-2025.05.24-17.36.zip
    • SonG
      Вирус переименовывает службы
      Автор SonG
      Добрый день!  На Server 2022 (Standart) появились вирусы.
      1. Сначала был Trojan.Win32.SEPEH, но после 3-4 проверок Kaspersky Endpoint Security, пропал. В это время уже центр обновлений не работал
      2. Дальше полез в реестр и слкжбы службы. На службах wuauserv, usosvc, BITS, WaaSMedicSvc, DoSvc, wuaserv, был постфикс "_bak" (оригиналы при этом были). Удалил из под безопасного режима, прогнал антивирусом и перезапустился. Вроде больше не появлялись.
       
      Теперь центр обновлений так и не работает, но на глаз попались другие службы, где уже другие названия:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CaptureService_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cbdhsvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDPUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ConsentUxUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CredentialEnrollmentManagerUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeviceAssociationBrokerSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DevicePickerUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DevicesFlowUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PimIndexMaintenanceSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PrintWorkflowUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UdkUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UnistoreSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UserDataSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WpnUserService_b1e5e  
      Что делать, куда "копать" ?) 
      Физический доступ к серверу бывает раз в день (99% операций провожу под RDP)
      CollectionLog-2025.06.01-16.59.zip FRST.txt Addition.txt
×
×
  • Создать...