Активность

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ C:\Users\SwiftKiller\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gpglekfbnjdjpmninlahmmongboadjlc S3 bits; C:\Windows\System32\svchost.exe [55320 2022-09-08] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S3 bits; C:\Windows\SysWOW64\svchost.exe [46504 2022-09-08] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2023-01-15] (Microsoft Windows -> Microsoft Corporation) S3 dosvc; C:\Windows\System32\svchost.exe [55320 2022-09-08] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S3 dosvc; C:\Windows\SysWOW64\svchost.exe [46504 2022-09-08] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1536000 2023-09-17] (Microsoft Windows -> Microsoft Corporation) S2 UsoSvc; C:\Windows\system32\svchost.exe [55320 2022-09-08] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S2 UsoSvc; C:\Windows\SysWOW64\svchost.exe [46504 2022-09-08] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2023-09-17] (Microsoft Windows -> Microsoft Corporation) S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2023-07-14] (Microsoft Windows -> Microsoft Corporation) S3 wuauserv; C:\Windows\system32\svchost.exe [55320 2022-09-08] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S3 wuauserv; C:\Windows\SysWOW64\svchost.exe [46504 2022-09-08] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3447296 2023-06-14] (Microsoft Windows -> Microsoft Corporation) 2025-12-10 04:01 - 2025-12-10 04:01 - 000000970 _____ () C:\Users\SwiftKiller\setup.dat AlternateDataStreams: C:\Windows\tracing:? [16] AlternateDataStreams: C:\ProgramData\TEMP:04853F41 [125] AlternateDataStreams: C:\Users\SwiftKiller\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Скачайте этот архив, извлеките из него твики реестра и последовательно запустите каждый. После этого перезагрузите компьютер, удалите старые и соберите новые логи FRST.txt и Addition.txt. Он не зависает, а продолжает работу. Просто дождитесь завершения.

FRST не до проверял зависает на сканирование других областей ClearLNK-2025.12.22_10.39.18.log Addition.txtFRST.txt

Извините, не совсем понял вопрос. Что "5,5,5" ? Для идеальных биграмм, в силу их характера, всегда можно составить необходимую комбинацию значений. Если вы имеете в в виду, что "5, 5, 5" - это значения для первой, второй и третей биграммы, то можно просто заменить любую из пятерок на четверку (по определению идеальной это реализуемо всегда) - и все получается.

С Днём Рождения!

Хорошо, проверю немного позже.

$RM3V0HV.zipАрхив с паролем virus

Посмотрите, пожалуйста, поможет ли этот экзешник в расшифровке наших файлов?

5,5,5 - ?

Добрый день. Удалось обнаружить файл, которым "работали" злоумышленники. $RM3V0HV.7zВот этот файл

Судя по логах Cureit файлов шифровальщика не обнаружено при сканировании В архиве defender.rar сэмпл шифровальщика? и скорее всего архив создан без пароля. Переделайте архив с паролем virus.

С учетом того, что зашифрованные файлы имеют расширение *KHvpTGMpP, можно предположить что ваши файлы были зашифрованы LockbitV3Black, Расшифровка файлов по данному типу невозможна без приватного ключа. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

This is not necessary. We cannot help you decrypt your files. If you need help cleaning the system, we will need the FRST logs from the encrypted system.

Продолжаем. 1. Деинсталлируйте нежелательное ПО: Если не сможете удалить стандартно, удалите принудительно с помощью Geek Uninstaller 2. Файл Check_Browser_Lnk.log из папки перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. 3. "Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = localhost;127.0.0.1 O4 - HKLM\..\Session Manager: [BootExecute] = (no file) O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4 O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1 O22 - Tasks: (disabled) EdgeUpdate - C:\Windows\system32\cmd.exe /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable (sign: 'Microsoft') O22 - Tasks: (disabled) UpdateTorrent - C:\Users\SwiftKiller\AppData\Roaming\utorrent\pro\uTorrentClient.exe /T (not signed - no company - 94CD415BF5E7474CF61632ECCF2F241EA223BA85) O27 - Account: (Hidden) User 'John' is invisible on logon screen Перезагрузите компьютер. 4. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

defender.rardefender.rar

cureit(3960).rar

а понял KHvpTGMpP.README.txt

Изменять уже не надо. Просто добавьте файл записки с оригинальным именем.

hy i cant message you private i need talk to you sir

да до шифрования откатил, поэтому логи и не прикрепил, но мне сказали сделать по правилам - прикрепил. записку уже не могу убрать не даёт изменить сообщение

Систему откатили на момент до шифрования? тогда логи бесполезны. Добавьте записку в виде файла, без изменения имени. Не публикуйте текст записки в открытом доступе с приватными данными.

This is LokiLocker, decrypting files without a private key is impossible.

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. Artesmann (37)staff (37)Gaihnik79 (46)Лётчик (57)RifleMaster (48)

(-(!5) + 4^3!)/(2 × 1) = (-44 + 4096)/2 = 2026 (6! - !5) × (!4/3) - 2! - !1 = 676 × 3 - 2 = 2026

5: (!5 + 4 - 3) ^2 +1=2026

(((((((9 * 8 ) * 7) + 6) - 5) * 4) + (3 * 2)) * 1)=2026 8: ( 8* ( 7 + 6 * 5 *4 ) -3 ) *2 *1=2026 (8 * (7 + 6 * 5 * 4)- 3) *2/1=2026 7: (( 7 * 6 ) * ( 5 - 4 ) + 3 ) ^2 + 1=2026 6: (((6 + 5 + 4) *3 ) ^2) +1=2026