Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Словил bitcoin@email.tg].ncov

adnan30
 Поделиться

Рекомендуемые сообщения

SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Словил на сервере вирус, файлы из программы FRST прикрепил

Есть ли шансы на расшифровку?

Добрый день,

 

Похоже на разновидность Dharna, для нее к сожалению расшифровки нет.

 

Для удаление шифровальщик и хвостов, выполните следущий фикс.

 

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::

    Start::
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\System32\1btc.exe
HKLM\...\Run: [1btc.exe] => C:\Windows\System32\1btc.exe [94720 2020-03-19] () [File not signed]
Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1btc.exe [2020-03-19] () [File not signed]
Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-03-19] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1btc.exe [2020-03-19] () [File not signed]
2020-03-19 16:49 - 2020-03-19 16:49 - 000000166 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-03-19 16:49 - 2020-03-19 16:49 - 000000166 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-03-19 16:49 - 2020-03-19 16:49 - 000000166 _____ C:\FILES ENCRYPTED.txt
2020-03-19 16:26 - 2020-03-19 16:34 - 000094720 _____ C:\Windows\system32\1btc.exe
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Smorodina
      Словил вирус - URLLINK:MALWARE.URL - помогите избавиться
      Автор Smorodina
      сканировал drweb cureit- обнаружил - вылечить не смог.
      помогите пож-та решить проблему: комп жестко тормозит - вентиллятор охлаждения крутится постоянно
       

    • Antonyy
      [РЕШЕНО] Здравствуйте, словил вирус, майнер Tool.BtcMine.2794
      Автор Antonyy
      Здравствуйте, словил майнер Tool.BtcMine.2794. Пытался почистить с помощь Cure It, удаляется ровно до следующей перезагрузки ПК. логи с FRST в архиве
      111.7z
    • Вадим666
      Словил зловреда усложняет работу
      Автор Вадим666
      PUA:Win32/Vigua.A
      PUA:Win32/Packunwan
      PUATorrent:Win32/uTorrent
      PUA:Win32/Softcnapp
       
      Защитник MS обнаружил следующие вирусы (описанные выше) после чего KSC перестал видеть зараженный пк и пк на него зайти не может пароль и логит верные. Просьба помочь в устранении следов заражения и возобновлении коннекта  KES и KSC
      Также в хосте появилась надпись #This file has been replaced with its default version by Kaspersky Lab because of possible infection
       
    • wastezxc
      [РЕШЕНО] Словил майнер
      Автор wastezxc
      Видимо словил майнер, некоторые приложения при запуске сразу закрываются
       
      CollectionLog-2025.04.04-17.45.zip
    • Dizzmilate
      Словил вирус: not-a-virus:HEUR:RiskTool.Win32.HideProc.gen
      Автор Dizzmilate
      Добрый вечер! Словил вирус на пк качал TL легаси лаунчер с офф сайта и оригинальный, было все нормально но потом вирус начал себя проявлять на клавиатуре поменялись значения цифры заменились на спец.символы и когда зажат CAPS буквы маленькие и наоборот ну и баги с мышкой я обнулил винду с удалением всех данных после этого стало только хуже клавиатура не работает и что-бы она заработала надо что-то сделать, пороль приходилось вбивать через экранную клавиатуру почистил реестр единственное что нашел это то что в Usernit был с запятой я её удалил по советам и клавиатура заработала на время до перезапуска пк, Сканировал антивирусами : Доктор веб курейт + Доктор веб приложение, MRT виндоус, Windows Defender полной проверкой, помог только Касперский тул он нашел not-a-virus:HEUR:RiskTool.Win32.HideProc.gen который был в пути C:\Recovery\WindowsRE\Winre.wim Я его удалил но вирус не ушел, на данный момент мышка работает нормально но клавиатура все так-же шалит главная проблема в том что вирус ворует данные в режиме реального времени и что я не могу : Нормально воспользоваться средой восстановления / безопасным режимом, загрузиться с флешки хотя все условия соблюдены, отформатировать диск через биос я пытался это сделать но привело к ошибке Reboot and select proper boot которая ничем не решается. Подскажите что сделать что-бы : Отформатировать диск, поставить винду с флешки, или хотябы до конца убрать вирус и его возможные последствия!
      CollectionLog-2025.05.09-20.44.zip
×
×
  • Создать...