Trojan.Encoder.11432 — Как быстро найти вирус в вирусной базе Dr.Web

Содержание
  1. SHA1: Сетевой червь e889544aff85ffaf8b0d0da705105dee7c97fe26 Дроппер кодировщика: 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467 Кодировщик: 7d36a6aa8cb6b6b504ee9213c200c831eb8d4ef26b Многокомпонентный сетевой червь, известный как WannaCry. Написан на C/C ++, собран в MS Visual Studio, не упакован. Содержит две динамические библиотеки в собственном теле. После запуска он пытается отправить запрос GET на удаленный сервер http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com без кеширования результатов. Если червь получает ответ от сервера, он отключается. Он запускается как системная служба Windows mssecsvc2.0 (видимое имя — «Microsoft Security Center (2.0) Service»); Червь может получать аргументы командной строки. Если указан хотя бы один аргумент, червь пытается открыть службу mssecsvc2.0 и настроить ее на перезапуск в случае ошибки. После запуска пытается переименовать файл C: WINDOWS tasksche.exe в C: WINDOWS qeriuwjhrf, сохраняет из ресурсов троянского кодировщика в файл C: WINDOWS tasksche.exe и запускает его с параметром/i . В течение 24 часов после запуска в качестве системной службы червь автоматически отключается. Для распространения червь инициализирует Windows Sockets, CryptoAPI и запускает несколько потоков. Один из них выводит список всех сетевых интерфейсов на зараженном ПК и проверяет доступные серверы в локальной сети; остальные генерируют случайные IP-адреса. Червь пытается подключиться к этим удаленным серверам через порт 445. Если этот порт доступен, для заражения сетевых серверов с помощью уязвимости в протоколе SMB используется отдельный поток. Dropper Значительную часть дроппера представляет собой защищенный паролем ZIP-архив, в котором хранятся следующие файлы: b.wnry — файл с обоями для Рабочий стол Windows; c.wnry — файл со списком onion-серверов и адресом кошелька BTC; t.wnry — зашифрованный файл с троянским кодировщиком . Ключ декодирования хранится в самом файле; s.wnry — архив с программным обеспечением для работы с сетью Tor. После запуска , он пытается установить себя в следующие папки: % SYSDRIVE% ProgramData (если эта папка существует) % SYSDRIVE% Intel %SYSDRIVE% %TEMP% Во время установки червь создает соответствующую папку, помещает внутрь вложенная папка со случайным именем, затем создает там свою собственную копию с именем tasksche.exe. Пытается запустить ее копию как системную службу со случайным именем. Если попытка не удалась, он создает системную службу, регистрирует запуск собственной копии внутри нее с помощью интерпретатора команд («путь cmd.exe/c») и запускает эту службу. В случае сбоя запускается как обычное приложение. Когда дроппер запускается как приложение, он пытается записать путь и имя своего текущего каталога в следующие ветви системного реестра: HKLM Software WanaCrypt0r или HKCU Software WanaCrypt0r. Распаковывает содержимое архива в его текущую папку, сохраняет в файл c.wncry один из трех возможных адресов кошельков BTC. Открывает доступ к рабочему каталогу для всех пользователей системы и устанавливает для него скрытый аргумент. Затем он извлекает троянский кодировщик из файла t.wnry, расшифровывает его и запускает. Троян-вымогатель Кодировщик хранится в отдельной динамической библиотеке. Он шифрует файлы с использованием алгоритма AES-128. Используя функцию CryptGenKey, кодировщик создает пару RSA, публичная часть сохраняется в файле 00000000.pky, приватная часть шифруется открытым ключом автора и сохраняется в файле 00000000.eky. Ключ генерируется для каждого зашифрованного файла с помощью функции CryptGenRandom. В зашифрованном файле хранятся: Маркер (8 байтов): WANACRY !; Длина зашифрованного ключа (4 байта); Зашифрованный ключ (256 байтов); Информация о типе шифрования ( 4 байта); Начальный размер файла (8 байтов); Зашифрованные данные. В течение шифрование, создается список файлов, которые можно расшифровать в тестовом режиме. Сохраняется в f.wnry. Сессионный AES-ключ для расшифровки тестовых файлов зашифрован вторым RSA-ключом, закрытая часть которого хранится в теле троянца. Кодировщик содержит авторский декодер, который выполняет следующие функции : Установка обоев рабочего стола из файла b.wnry; Удаление теневых копий; Деактивация функции восстановления системы; Распаковка ПО для работы с Tor из файла s.wnry или загрузка с сайта, адрес которого хранится в файле в c.wnry. Декодер принимает следующие параметры командной строки (без аргументов): fi — получает ПО для работы с Tor, устанавливает соединение с портом 80 луковых серверов, указанным в конфигурации. Получает от них адрес кошелька BTC и сохраняет его в конфигурации; совместно считывает из файла RES данные при запуске шифрования и, предположительно, отправляет их на луковый сервер; vs — удаляет теневые копии и отключает восстановление системы. Для обмена данными с луковыми серверами Trojan.Encoder.11432 использует собственный протокол. К сожалению, в настоящее время невозможно расшифровать файлы, закодированные троянцем. Сетевая активность Для обмена данными с удаленными серверами троянец использует собственный протокол. Можно выделить три типа сетевой активности: отправка сообщений авторам троянца; запрос имени кошелька BTC; Чек на выплату выкупа. Перед сессией троянец проверяет, установлено ли соединение, и выбирает один из адресов лукового сервера, сохраненных в конфигурации. Для проверки работоспособности сервера троянец подключается к нему через 80-й порт по сети TOR и устанавливает сеансовый ключ; после этого отправляется полезная информация. Переданные пакеты данных зашифрованы. Когда троянец пытается отправить авторам троянца текст, длина которого короче 10 символов, вредоносная программа возвращает ошибку «Слишком короткое сообщение!». Сообщения длиной более 1000 символов сокращаются до 1000 символов. Декодер не позволяет отправлять сообщения слишком часто (эти ограничения реализованы в самом декодере). При нажатии на кнопку проверки оплаты декодер пытается прочитать файл, содержащий открытый ключ и файл с закрытым ключом. Если чтение прошло успешно, он проверяет их соответствие с помощью шифрования и дешифрования тестового буфера. Если файла с закрытым ключом нет или файл не соответствует файлу с открытым ключом, троянец обращается к своим серверам. Он отправляет данные на сервер, а затем ждет для расшифрованного файла EKY (закрытая часть ключа RSA). Новости о трояне Шаги по удалению трояна .Encoder.11432 Из уязвимых систем Как удалить троян Поделиться в Facebook Твитнуть в Твиттере Что вы знаете о Trojan.Encoder.11432? За скучным названием вируса Trojan.Encoder.11432 скрывается интересная история . Это один из самых вредоносных троянцев-шифровальщиков, написанный на языке программирования C/C ++, который был раскрыт общественности в мае 2017 года. Он был обнаружен в середине этого года и, как сообщается, маскируется под важное обновление безопасности для Компьютеры Microsoft Windows. Известно, что вредоносная полезная нагрузка этого троянца-кодировщика файлов носит имя mssecsvc2.0. Он может быть доставлен на компьютер пользователя с помощью вложений нежелательной почты, на которых изображен логотип известной Microsoft. Эти вводящие в заблуждение сообщения могут напоминать законный дизайн Support.microsoft.com, который считается официальной страницей поддержки Microsoft для пользователей Windows. Таким образом, полезная нагрузка Trojan.Encoder.11432 может показаться некоторым пользователям системы законной. Trojan.Encoder.11432: использует преимущества многоядерных процессоров Согласно последнему отчету о расследовании, опубликованному исследователями вредоносного ПО, этот троянец сканирует зараженные компьютеры на наличие более 140 типов контейнеров данных и возможность кодирования файлов на подключенных дисках. Излишне говорить, что документы о вашей работе, семейные фотографии и базы данных, скорее всего, будут зашифрованы Trojan.Encoder.11432. Эта вредоносная программа может на длительное время нарушить работу любых серверных сетей, а также специализированной программы. Разработчики этого троянца разработали угрозу особым образом, чтобы избежать шифрования любых файлов, хранящихся в каталогах, таких как ProgramData, AppData, temp, Program Files (x86), System Volume Information, winnt, Program Files, Recycle.Bin, Загрузка и Windows. Как предотвратить атаку Trojan.Encoder.11432 на ваш компьютер? В случае, если ваша система был заражен этим вредоносным ПО, то есть различные меры, которые можно предпринять для восстановления нормальной работы вашего компьютера, заплатив выкуп, запрошенный киберпреступниками, стоящими за вирусом Trojan.Encoder.11432. Прежде всего, нет необходимости переустанавливать операционную систему, и вам также следует избегать удаления закодированных файлов или не пытаться восстановить зашифрованные файлы без какой-либо профессиональной поддержки. Все, что вам нужно сделать, это использовать надежную защиту от вредоносных программ для полного удаления этой инфекции, а затем попытаться использовать известный инструмент восстановления данных, который может помочь вам восстановить некоторые из ваших важных файлов на ПК. Пошаговое руководство по избавлению от Trojan.Encoder.11432 Возможные действия для ОС Перезагрузите ОС в безопасном режиме Избавьтесь от Trojan.Encoder.11432 из панели управления Windows Избавьтесь от Trojan.Encoder.11432 из командной строки End Вредный процесс Trojan.Encoder.11432 из диспетчера задач Удалите записи вредоносного Trojan.Encoder.11432 из редактора реестра Windows Шаг 1. Перезагрузите ОС в безопасном режиме Для Windows XP, Vista, 7 Перезагрузите ОС. Чтобы не пропустить время, когда вам нужно нажать клавишу F8, как только компьютер начнет загружаться. Затем выберите Безопасный режим с загрузкой сетевых драйверов. Для Windows 8 и 8.1 Нажмите кнопку «Пуск», затем «Панель управления >> Система и безопасность >> Администрирование >> Конфигурация системы. Теперь проверьте параметр безопасной загрузки и нажмите на кнопку ОК. Во всплывающем окне нажмите «Перезагрузить». Для Windows 10 Открыть меню «Пуск». Щелкните значок кнопки питания в правом углу меню «Пуск», чтобы открыть меню параметров питания. Нажмите и удерживайте клавишу SHIFT на клавиатуре, затем нажмите на параметр« Перезагрузить », удерживая нажатой клавишу SHIFT. Затем щелкните значок «Устранение неполадок», затем «Дополнительные параметры» >> «Параметры запуска». Нажмите «Перезагрузка». После перезагрузки нажмите «Войти в безопасный режим с загрузкой сетевых драйверов». Шаг 2: удерживайте клавишу «Пуск» + R и скопируйте + вставить appwiz.cpl ОК. Откроется панель управления. Теперь найдите все подозрительные записи, связанные с Trojan.Encoder.11432, и сразу избавьтесь от них. Теперь введите msconfig в поле поиска и нажмите клавишу ВВОД. Снимите отметку с подозрительных и связанных с Trojan.Encoder.11432 записей. Шаг: 3 Нажмите кнопку «Пуск» и скопируйте + A, вставьте следующую команду и нажмите OK. Блокнот% windir%/system32/Drivers/etc/hosts. Теперь откроется новый файл. Если ваша ОС была взломана Trojan.Encoder.11432, внизу будет множество неизвестных IP-адресов, подключенных к машине. Посмотрите на изображение ниже: Если есть много подозрительных IP-адресов ниже Localhost, удалите их без промедления. Шаг 4: Одновременно нажмите клавиши CTRL + SHIFT + ESC. Перейдите на вкладку «Процессы» и попробуйте определить, какой из них является процессом Trojan.Encoder.11432. Щелкните правой кнопкой мыши по каждому процессу Trojan.Encoder.11432 отдельно и выберите Откройте расположение файла. Завершите процесс после открытия папки. Затем удалите каталоги, в которые вы были отправлены. Шаг 5: Введите Regedit в поле поиска Windows и нажмите Enter. Оказавшись внутри, нажмите CTRL и F вместе и введите Trojan.Encoder.11432 . Щелкните правой кнопкой мыши и удалите все записи с похожим именем. Если они не отображаются таким образом, перейдите к этим каталогам и избавьтесь от них.
  2. Dropper
  3. Троян-вымогатель
  4. Сетевая активность
  5. Шаги по удалению трояна .Encoder.11432 Из уязвимых систем
  6. Что вы знаете о Trojan.Encoder.11432?
  7. Trojan.Encoder.11432: использует преимущества многоядерных процессоров
  8. Как предотвратить атаку Trojan.Encoder.11432 на ваш компьютер?
  9. Пошаговое руководство по избавлению от Trojan.Encoder.11432 Возможные действия для ОС
  10. Шаг 1. Перезагрузите ОС в безопасном режиме
  11. Для Windows XP, Vista, 7
  12. Для Windows 8 и 8.1
  13. Для Windows 10
  14. Шаг 2: удерживайте клавишу «Пуск» + R и скопируйте + вставить appwiz.cpl ОК.
  15. Шаг: 3 Нажмите кнопку «Пуск» и скопируйте + A, вставьте следующую команду и нажмите OK.
  16. Шаг 4: Одновременно нажмите клавиши CTRL + SHIFT + ESC. Перейдите на вкладку «Процессы» и попробуйте определить, какой из них является процессом Trojan.Encoder.11432.
  17. Шаг 5: Введите Regedit в поле поиска Windows и нажмите Enter.

SHA1:
  • Сетевой червь e889544aff85ffaf8b0d0da705105dee7c97fe26
  • Дроппер кодировщика: 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467
  • Кодировщик: 7d36a6aa8cb6b6b504ee9213c200c831eb8d4ef26b

Многокомпонентный сетевой червь, известный как WannaCry. Написан на C/C ++, собран в MS Visual Studio, не упакован. Содержит две динамические библиотеки в собственном теле. После запуска он пытается отправить запрос GET на удаленный сервер http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com без кеширования результатов. Если червь получает ответ от сервера, он отключается.

Он запускается как системная служба Windows mssecsvc2.0 (видимое имя — «Microsoft Security Center (2.0) Service»); Червь может получать аргументы командной строки. Если указан хотя бы один аргумент, червь пытается открыть службу mssecsvc2.0 и настроить ее на перезапуск в случае ошибки. После запуска пытается переименовать файл C: WINDOWS tasksche.exe в C: WINDOWS qeriuwjhrf, сохраняет из ресурсов троянского кодировщика в файл C: WINDOWS tasksche.exe и запускает его с параметром/i . В течение 24 часов после запуска в качестве системной службы червь автоматически отключается.

Для распространения червь инициализирует Windows Sockets, CryptoAPI и запускает несколько потоков. Один из них выводит список всех сетевых интерфейсов на зараженном ПК и проверяет доступные серверы в локальной сети; остальные генерируют случайные IP-адреса. Червь пытается подключиться к этим удаленным серверам через порт 445. Если этот порт доступен, для заражения сетевых серверов с помощью уязвимости в протоколе SMB используется отдельный поток.

Dropper

Значительную часть дроппера представляет собой защищенный паролем ZIP-архив, в котором хранятся следующие файлы:

  • b.wnry — файл с обоями для Рабочий стол Windows;
  • c.wnry — файл со списком onion-серверов и адресом кошелька BTC;
  • t.wnry — зашифрованный файл с троянским кодировщиком . Ключ декодирования хранится в самом файле;
  • s.wnry — архив с программным обеспечением для работы с сетью Tor.

После запуска , он пытается установить себя в следующие папки:

  • % SYSDRIVE% ProgramData (если эта папка существует)
  • % SYSDRIVE% Intel
  • %SYSDRIVE%
  • %TEMP%

Во время установки червь создает соответствующую папку, помещает внутрь вложенная папка со случайным именем, затем создает там свою собственную копию с именем tasksche.exe.

Пытается запустить ее копию как системную службу со случайным именем. Если попытка не удалась, он создает системную службу, регистрирует запуск собственной копии внутри нее с помощью интерпретатора команд («путь cmd.exe/c») и запускает эту службу. В случае сбоя запускается как обычное приложение.

Когда дроппер запускается как приложение, он пытается записать путь и имя своего текущего каталога в следующие ветви системного реестра: HKLM Software WanaCrypt0r или HKCU Software WanaCrypt0r. Распаковывает содержимое архива в его текущую папку, сохраняет в файл c.wncry один из трех возможных адресов кошельков BTC. Открывает доступ к рабочему каталогу для всех пользователей системы и устанавливает для него скрытый аргумент. Затем он извлекает троянский кодировщик из файла t.wnry, расшифровывает его и запускает.

Троян-вымогатель

Кодировщик хранится в отдельной динамической библиотеке. Он шифрует файлы с использованием алгоритма AES-128. Используя функцию CryptGenKey, кодировщик создает пару RSA, публичная часть сохраняется в файле 00000000.pky, приватная часть шифруется открытым ключом автора и сохраняется в файле 00000000.eky. Ключ генерируется для каждого зашифрованного файла с помощью функции CryptGenRandom.

В зашифрованном файле хранятся:

  • Маркер (8 байтов): WANACRY !;
  • Длина зашифрованного ключа (4 байта);
  • Зашифрованный ключ (256 байтов);
  • Информация о типе шифрования ( 4 байта);
  • Начальный размер файла (8 байтов);
  • Зашифрованные данные.

В течение шифрование, создается список файлов, которые можно расшифровать в тестовом режиме. Сохраняется в f.wnry. Сессионный AES-ключ для расшифровки тестовых файлов зашифрован вторым RSA-ключом, закрытая часть которого хранится в теле троянца.

Кодировщик содержит авторский декодер, который выполняет следующие функции :

  • Установка обоев рабочего стола из файла b.wnry;
  • Удаление теневых копий;
  • Деактивация функции восстановления системы;
  • Распаковка ПО для работы с Tor из файла s.wnry или загрузка с сайта, адрес которого хранится в файле в c.wnry.

Декодер принимает следующие параметры командной строки (без аргументов):

  • fi — получает ПО для работы с Tor, устанавливает соединение с портом 80 луковых серверов, указанным в конфигурации. Получает от них адрес кошелька BTC и сохраняет его в конфигурации;
  • совместно считывает из файла RES данные при запуске шифрования и, предположительно, отправляет их на луковый сервер;
  • vs — удаляет теневые копии и отключает восстановление системы.

Для обмена данными с луковыми серверами Trojan.Encoder.11432 использует собственный протокол. К сожалению, в настоящее время невозможно расшифровать файлы, закодированные троянцем.

Сетевая активность

Для обмена данными с удаленными серверами троянец использует собственный протокол. Можно выделить три типа сетевой активности:

  • отправка сообщений авторам троянца;
  • запрос имени кошелька BTC;
  • Чек на выплату выкупа.

Перед сессией троянец проверяет, установлено ли соединение, и выбирает один из адресов лукового сервера, сохраненных в конфигурации. Для проверки работоспособности сервера троянец подключается к нему через 80-й порт по сети TOR и устанавливает сеансовый ключ; после этого отправляется полезная информация.

Переданные пакеты данных зашифрованы.

Когда троянец пытается отправить авторам троянца текст, длина которого короче 10 символов, вредоносная программа возвращает ошибку «Слишком короткое сообщение!». Сообщения длиной более 1000 символов сокращаются до 1000 символов. Декодер не позволяет отправлять сообщения слишком часто (эти ограничения реализованы в самом декодере).

При нажатии на кнопку проверки оплаты декодер пытается прочитать файл, содержащий открытый ключ и файл с закрытым ключом. Если чтение прошло успешно, он проверяет их соответствие с помощью шифрования и дешифрования тестового буфера. Если файла с закрытым ключом нет или файл не соответствует файлу с открытым ключом, троянец обращается к своим серверам.

Он отправляет данные на сервер, а затем ждет для расшифрованного файла EKY (закрытая часть ключа RSA).

Новости о трояне



Шаги по удалению трояна .Encoder.11432 Из уязвимых систем

  • Как удалить
  • троян
Поделиться в Facebook

Твитнуть в Твиттере

Что вы знаете о Trojan.Encoder.11432?

За скучным названием вируса Trojan.Encoder.11432 скрывается интересная история . Это один из самых вредоносных троянцев-шифровальщиков, написанный на языке программирования C/C ++, который был раскрыт общественности в мае 2017 года. Он был обнаружен в середине этого года и, как сообщается, маскируется под важное обновление безопасности для Компьютеры Microsoft Windows. Известно, что вредоносная полезная нагрузка этого троянца-кодировщика файлов носит имя mssecsvc2.0. Он может быть доставлен на компьютер пользователя с помощью вложений нежелательной почты, на которых изображен логотип известной Microsoft. Эти вводящие в заблуждение сообщения могут напоминать законный дизайн Support.microsoft.com, который считается официальной страницей поддержки Microsoft для пользователей Windows. Таким образом, полезная нагрузка Trojan.Encoder.11432 может показаться некоторым пользователям системы законной.

Trojan.Encoder.11432: использует преимущества многоядерных процессоров

Согласно последнему отчету о расследовании, опубликованному исследователями вредоносного ПО, этот троянец сканирует зараженные компьютеры на наличие более 140 типов контейнеров данных и возможность кодирования файлов на подключенных дисках. Излишне говорить, что документы о вашей работе, семейные фотографии и базы данных, скорее всего, будут зашифрованы Trojan.Encoder.11432. Эта вредоносная программа может на длительное время нарушить работу любых серверных сетей, а также специализированной программы. Разработчики этого троянца разработали угрозу особым образом, чтобы избежать шифрования любых файлов, хранящихся в каталогах, таких как ProgramData, AppData, temp, Program Files (x86), System Volume Information, winnt, Program Files, Recycle.Bin, Загрузка и Windows.

Как предотвратить атаку Trojan.Encoder.11432 на ваш компьютер?

В случае, если ваша система был заражен этим вредоносным ПО, то есть различные меры, которые можно предпринять для восстановления нормальной работы вашего компьютера, заплатив выкуп, запрошенный киберпреступниками, стоящими за вирусом Trojan.Encoder.11432. Прежде всего, нет необходимости переустанавливать операционную систему, и вам также следует избегать удаления закодированных файлов или не пытаться восстановить зашифрованные файлы без какой-либо профессиональной поддержки. Все, что вам нужно сделать, это использовать надежную защиту от вредоносных программ для полного удаления этой инфекции, а затем попытаться использовать известный инструмент восстановления данных, который может помочь вам восстановить некоторые из ваших важных файлов на ПК.

Пошаговое руководство по избавлению от Trojan.Encoder.11432 Возможные действия для ОС

  • Перезагрузите ОС в безопасном режиме
  • Избавьтесь от Trojan.Encoder.11432 из панели управления Windows
  • Избавьтесь от Trojan.Encoder.11432 из командной строки
  • End Вредный процесс Trojan.Encoder.11432 из диспетчера задач
  • Удалите записи вредоносного Trojan.Encoder.11432 из редактора реестра Windows

Шаг 1. Перезагрузите ОС в безопасном режиме

Для Windows XP, Vista, 7

  • Перезагрузите ОС. Чтобы не пропустить время, когда вам нужно нажать клавишу F8, как только компьютер начнет загружаться. Затем выберите Безопасный режим с загрузкой сетевых драйверов.

Для Windows 8 и 8.1

  • Нажмите кнопку «Пуск», затем «Панель управления >> Система и безопасность >> Администрирование >> Конфигурация системы.

  • Теперь проверьте параметр безопасной загрузки и нажмите на кнопку ОК. Во всплывающем окне нажмите «Перезагрузить».

Для Windows 10

  • Открыть меню «Пуск».
  • Щелкните значок кнопки питания в правом углу меню «Пуск», чтобы открыть меню параметров питания.

  • Нажмите и удерживайте клавишу SHIFT на клавиатуре, затем нажмите на параметр« Перезагрузить », удерживая нажатой клавишу SHIFT.
  • Затем щелкните значок «Устранение неполадок», затем «Дополнительные параметры» >> «Параметры запуска». Нажмите «Перезагрузка».
  • После перезагрузки нажмите «Войти в безопасный режим с загрузкой сетевых драйверов».

Шаг 2: удерживайте клавишу «Пуск» + R и скопируйте + вставить appwiz.cpl ОК.

  • Откроется панель управления. Теперь найдите все подозрительные записи, связанные с Trojan.Encoder.11432, и сразу избавьтесь от них. Теперь введите msconfig в поле поиска и нажмите клавишу ВВОД. Снимите отметку с подозрительных и связанных с Trojan.Encoder.11432 записей.

Шаг: 3 Нажмите кнопку «Пуск» и скопируйте + A, вставьте следующую команду и нажмите OK.

  • Блокнот% windir%/system32/Drivers/etc/hosts.
  • Теперь откроется новый файл. Если ваша ОС была взломана Trojan.Encoder.11432, внизу будет множество неизвестных IP-адресов, подключенных к машине. Посмотрите на изображение ниже:

  • Если есть много подозрительных IP-адресов ниже Localhost, удалите их без промедления.

Шаг 4: Одновременно нажмите клавиши CTRL + SHIFT + ESC. Перейдите на вкладку «Процессы» и попробуйте определить, какой из них является процессом Trojan.Encoder.11432.

  • Щелкните правой кнопкой мыши по каждому процессу Trojan.Encoder.11432 отдельно и выберите Откройте расположение файла. Завершите процесс после открытия папки. Затем удалите каталоги, в которые вы были отправлены.

Шаг 5: Введите Regedit в поле поиска Windows и нажмите Enter.

  • Оказавшись внутри, нажмите CTRL и F вместе и введите Trojan.Encoder.11432 . Щелкните правой кнопкой мыши и удалите все записи с похожим именем. Если они не отображаются таким образом, перейдите к этим каталогам и избавьтесь от них.

Оцените статью
logicle.ru
Добавить комментарий