Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Файлы зашифрованы Trojan.Encoder.567 , установленные программы не запускаются

litis
 Поделиться

Рекомендуемые сообщения

  • Mark D. Pearlstone изменил название на Файлы зашифрованы Trojan.Encoder.567 , установленные программы не запускаются
thyrex

thyrex

Опубликовано
Опубликовано

Примеры зашифрованных файлов не прикрепили. Хотя наверняка там будет версия 2.0.0.0, расшифровки длякоторой нет.

mike 1

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
        
    CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3893097744-1794477723-3316812410-1000\...\Run: [D3FCA67A-B43B996Ahta] => C:\Users\Server\AppData\Local\Temp\how_to_decrypt.hta [1794 2022-01-28] () [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-3893097744-1794477723-3316812410-1003\...\Run: [MediaSVC] => C:\Users\Юля\AppData\Roaming\Microsoft\Windows\Java\update.vbs (Нет файла)
HKU\S-1-5-21-3893097744-1794477723-3316812410-1004\...\MountPoints2: {77c6b6cb-014d-11e6-8433-806e6f6e6963} - D:\start.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Server\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Skvortsova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Trustedinstallеr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Аdministrator.Server-PA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk[hopeandhonest@smime.ninja].[D3FCA67A-B43B996A] [2022-01-28]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Владимир\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\ДИР\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Людмила\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Продавец\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Юля\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
2022-01-28 18:25 - 2017-08-13 21:32 - 001424896 _____ (Misc314) C:\Users\Server\Desktop\mouselock.exe
unlock: C:\Windows\JavaUpdater.exe
unlock: C:\Windows\Interrupts.exe
virustotal: C:\Windows\Interrupts.exe
virustotal: C:\Windows\JavaUpdater.exe


  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...