Активность

Отправить не могу На почте яндекса и мейла пишет о том, что "в письме возможно вирус" и не отправляет его соответственно обязательно ли в теле письма указывать "virus" ?

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKLM\Software\Policies\...\system: [DisableAcrylicBackgroundOnLogon] 1 HKLM\Software\Policies\...\system: [EnableSmartScreen] 0 <==== ВНИМАНИЕ HKU\S-1-5-21-4271332285-611751615-1068854009-1001\...\Run: [Firefox Browser] => C:\Firefox\X-Firefox.exe (Нет файла) 2026-01-14 10:22 - 2026-01-14 10:22 - 000000000 ____H C:\Users\ONH\888d8d8d88d.txt 2026-01-14 10:14 - 2026-01-14 10:14 - 000081920 ___RH C:\Users\ONH\syscfgvhost.exe 2026-01-14 10:14 - 2026-01-14 10:14 - 000000000 ____H C:\Users\ONH\AppData\Roaming\windrx.txt 2026-01-14 10:13 - 2026-01-16 12:42 - 000000284 ____H C:\Users\ONH\tbtcmds.dat 2026-01-14 09:18 - 2026-01-27 14:02 - 000004096 ____H C:\Users\ONH\tbtnds.dat 2026-01-14 09:17 - 2026-01-27 15:52 - 000000000 ____D C:\Users\ONH\AppData\Roaming\RAC 2026-01-14 09:17 - 2025-08-28 17:16 - 000081408 ___RH C:\Users\ONH\syskravbnr.exe Folder: C:\Users\ONH\winmgr FirewallRules: [{28AE744B-E1B1-4A77-82B1-5C57D047653E}] => (Allow) C:\Users\ONH\AppData\Local\Temp\DriverPack-20251003110015\tools\aria2c.exe => Нет файла FirewallRules: [{AE8B5BD3-1518-482C-B892-29F41181620A}] => (Allow) C:\Users\ONH\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла FirewallRules: [{58F8B688-BACC-42D3-9524-C89DF2D5DA18}] => (Allow) C:\Users\ONH\AppData\Local\360extremebrowser\Chrome\Application\22.3.5116.64\installer\ceup.exe => Нет файла FirewallRules: [{FB8813E2-B6D1-4D9B-BBE3-2E3ABF954AC8}] => (Allow) C:\Users\ONH\AppData\Local\360extremebrowser\Chrome\Application\22.3.5116.64\installer\ceup.exe => Нет файла FirewallRules: [{EBDA9B10-6552-4329-A342-3AE0979FCC96}] => (Allow) C:\Users\ONH\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла FirewallRules: [{517A8689-5441-4DE0-B3FA-91A79B9AAA4C}] => (Allow) C:\Users\ONH\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла FirewallRules: [{EF7C4282-A075-41B3-A948-30F65A6814B2}] => (Allow) C:\Users\ONH\AppData\Local\360extremebrowser\Chrome\Application\22.3.5116.64\installer\360mlupdate.exe => Нет файла FirewallRules: [{B31358A3-5F9A-4C60-97B3-CE972ADE7E8C}] => (Allow) C:\Users\ONH\AppData\Local\360extremebrowser\Chrome\Application\22.3.5116.64\installer\360mlupdate.exe => Нет файла FirewallRules: [TCP Query User{3561F1B2-13EC-4CC4-A0FA-90F8EB897746}C:\users\onh\syskravbnr.exe] => (Block) C:\users\onh\syskravbnr.exe () [Файл не подписан] FirewallRules: [UDP Query User{9538476F-7E04-42F7-8240-D71778461B76}C:\users\onh\syskravbnr.exe] => (Block) C:\users\onh\syskravbnr.exe () [Файл не подписан] FirewallRules: [TCP Query User{6401A299-07C1-4000-B334-031515B3435B}C:\users\onh\syscfgvhost.exe] => (Block) C:\users\onh\syscfgvhost.exe () [Файл не подписан] FirewallRules: [UDP Query User{A1224FAB-1AFC-4008-BCCA-428C17F9B744}C:\users\onh\syscfgvhost.exe] => (Block) C:\users\onh\syscfgvhost.exe () [Файл не подписан] FirewallRules: [TCP Query User{B7A63D67-3ED9-4313-B967-BD6384A6960B}C:\users\onh\syscrovhost.exe] => (Block) C:\users\onh\syscrovhost.exe => Нет файла FirewallRules: [UDP Query User{36F67F13-37DD-4EA5-9E52-BDF55E4342F3}C:\users\onh\syscrovhost.exe] => (Block) C:\users\onh\syscrovhost.exe => Нет файла Zip: c:\FRST\Quarantine\ EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. На рабочем столе появится архив Date_Time.zip (Дата_Время) Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Всё получилось. Прикрепляю файлы отчетов FRST.txt Addition.txt

Хорошо, файл проверю немного позже. Для дополнительного анализа проверьте ЛС. С расшифровкой файлов по данному типу не сможем помочь. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

virus.zip

В крайнем случае запускайте в безопасном режиме.

Написано ведь было: Переименуйте файл на расширение *.vexe, добавьте восстановленный файл в архив с паролем virus, загрузите архив в ваше сообщение. А вы просто архив переименовали. Пробуйте еще раз сделать архив с паролем.

нет

Пароль установили к архиву? Восстановленный файл удалите.

virus.zipвот он

Временно отключите защиту антивируса.

Здравствуйте! В логах пока явных признаков заражения не видно. Поясните, пожалуйста: как вы об этом узнаёте? Во время такого "прослушивания" у вас включены камера и микрофон? В каких программах вы в это время находитесь, т.е. какие программы запущены? Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

Поменял расширение и всё равно удалился файл

Утилит по расшифровке достаточно много, но они предназначены только расшифровки определенного типа. Нет такого универсального дешифратора который расшифрует все что было зашифровано за несколько лет назад, и новые типы, которые будут в последующие годы. Вначале надо определять правильно тип шифровальщика, затем уже искать дешифратор для данного типа, если он есть в природе. Не должен, он запускается вручную. Но сразу измените ему расширение. Временно отключите защиту.

Не могу его восстановить, он сразу удаляется.

Пробовал найти утилиту которая может помочь. Начала искать и вроде как могла что-то дешифровать "Утилита Kaspersky RectorDecryptor для расшифровки файлов после заражения Trojan-Ransom.Win32.Rector". Но как-то стрёмно её запускать на лечение. Там написано что удаляет зашифрованные файлы после расшифровки. А вдруг не расшифрует? Да и в поддержке касперского сказали что не знают как эта утилита будет работать потому что она бесплатная... Нафига тогда её вообще выкладывать? Не понимаю. А он заново не зашифрует мне тут всё?

Скачайте ещё раз с зеркала, программа очередной раз обновлена.

Да, это похоже на сэмпл. Пробуйте его восстановить из карантина, он восстановится в ту же папку, откуда был удален. Переименуйте файл на расширение *.vexe, добавьте восстановленный файл в архив с паролем virus, загрузите архив в ваше сообщение.

Подумайте о переходе на актуальную версию системы: Расширенная поддержка закончилась Внимание! Скачать обновления ^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^ Исправьте по возможности: Брандмауэр Защитника Windows (mpssvc) - Служба работает Отключен доменный профиль Брандмауэра Windows Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления Microsoft OneDrive v.21.220.1024.0005 Внимание! Скачать обновления Читайте Рекомендации после удаления вредоносного ПО

FRST1.zip Я с зашифрованного компьютера пишу, у меня тут ничего не работает просто. Сейчас полную проверку сделаю и отдельно выложу логи. Сработка вот была. В скриншоте видно. Самая нижняя строка. Не знаю как логи старые сделать просто, вчера вроде как выложил всё что было.

С Днём Рождения!

Сохраните не на Рабочий стол и не в папку Загрузки.

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. ledy (46)crickun (42)Andrey078 (55)aleksandras (69)Oxygen2007rus (34)Slavych (49)НикоLaй (27)Иван siemens (48)Gistaf (35)Kirill_Vl (31)

не то скинул извиняюсь CollectionLog-2026.01.28-03.00.zip

FRST.rar Addition.rar В saveboot получилось сделать проверку