Активность

Attention.hta - это и есть записка о выкупе. + проверьте ЛС.

Нужен отчет в соответсвии https://forum.kasperskyclub.ru/topic/65731-pravila-oformleniya-zaprosa-o-pomoschi

В логах не видно явных признаков заражения. Видно - для ряда системных устройств не установлены драйверы. Попробуйте с помощью утилиты от Lenovo установить недостающее и при необходимости обновить. Некоторый мусор почистим. Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ HKLM\Software\Policies\...\system: [EnableSmartScreen] 0 IFEO\'AggregatorHost.exe': [Debugger] C:\WINDOWS\System32\taskkill.exe IFEO\'CompatTelRunner.exe': [Debugger] C:\WINDOWS\System32\taskkill.exe IFEO\'DeviceCensus.exe': [Debugger] C:\WINDOWS\System32\taskkill.exe IFEO\mobsync.exe: [Debugger] systray.exe GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url> U4 SgrmAgent; отсутствует ImagePath U4 SgrmBroker; отсутствует ImagePath EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

report_2025.08.07_06.44.20.klr.rar

В архиве все, что было в папке KVRT2020_Data Скриншот приложил Cls12 не папка, а файл, скрин приложил kvrt.rar

Есть старый маленький локальный сервер, на нём есть 3 диска, точно заразился 1 из них, который общедоступный. Не все папки и файлы заразились. Запустил Cureit, он ничего не нашёл (точнее кажется не видит). Но во многих папках имеются файл с название --attention.hta, а зашифрованные файлы имеют свои наименования плюс добавилось такое: например блокнот.txt_[UID=YMG-MBMFV TelegramID=@recoveryfiles1].ano. У всех файлов расширение .ano. Были небольшие попытки расшифровать некоторые файлы с помощью декрипторов не помогло. Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать. Прикрепляю логи FRST, пару скриншотов (с безопасного режима всё делал), архив с примерами зашифрованных файлов, архив с файлом attention.hta и каким то подозрительным файлом (может это был свой файл зашифрованный). Никакого текста с вымоганием пока не нашёл. Если где неправильно что-то оформил извините. Случай сегодня обнаружился, судя по времени изменения файлов всё произошло ночью по местному времени.FRST.txt Addition.txt Shortcut.txt кажется вирус имеются во всех папках.rar примеры зашифрованных файлов.rar

С Днём Рождения!

Если систему сканировали с помощью KVRT или cureit, добавьте, пожалуйста, логи и отчеты по сканированию, в архиве, без пароля.

Как правило, файлы шифровальщика размещены на системном диске, но могут быть запущены и другого диска. С расшифровкой по LokiLocker не сможем помочь без приватного ключа.

Если систему сканировали с помощью KVRT 2025-08-06 10:29 - 2025-08-06 18:22 - 000000000 ____D C:\KVRT2020_Data или cureit, добавьте, пожалуйста, логи и отчеты по сканированию, в архиве, без пароля. покажите, что в этой папке есть: 2025-08-06 03:42 - 2025-08-06 03:42 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\BlackFL и здесь: 2025-08-06 01:20 - 2025-08-06 03:42 - 002528078 _____ C:\cls12

все таки настоятельно попрошу решить мне мою проблему, начались проблемы с вылетанием поиска виндовс и иероглифы

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. Susumi (34)rubchik (44)Хильдигарда (33)Никита Помазанов (37)SkimenSC (34)new kis user 2012 (38)sm0ked (34)

Здравствуйте. Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; DeleteSchedulerTask('UpdateUTorrentV4'); DeleteSchedulerTask('UpdateTorrent'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrent-v2','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrentPro','x64'); DeleteFile('C:\Users\User\AppData\Roaming\utorrent\UtorrentWeb.exe','64'); DeleteFile('C:\Users\User\AppData\Local\Programs\com.brotorrent.torrent-client-utorrent\uTorrent-v2.exe','64'); DeleteFile('C:\Program Files\uTorrentPro\uTorrentPro.exe','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. удалите через Панель управления – Программы и компоненты или принудительно с помощью Geek Uninstaller Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

логи дрвеб.rar

CollectionLog-2025.08.07-00.13.zip

Приостановка защиты или только полный выход? Приложите архив собранного отчета.- https://support.kaspersky.ru/common/diagnostics/3632#block1

логи дрвеб.rar При попытке зайти в настройки сети меня просто выкидывает, значок сети отсутствует вовсе, хотя интернет есть и работает. Скан системы не показывает упущенных файлов. Восстановление компьютера к исходному не дает из за невозможности найти среду для восстановления. Чувствую что компьютер начал работать слабее, также есть впечатление, что проблемы могут быть и с сетью. Названия которые выдавал Др.Веб Trojan.Siggen 31.46344, но даже после нескольких удалений он находил его повторно там же. Также HOSTS:MALWARE.URL.

Addition.txt FRST.txt

Дак я читал, видать много воды налил в текст. Давайте отвечу короче: - Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool. Если система была переустановлена, то предупредите консультантов в своей теме об этом. - система была переустановлена, к сожалению у меня не было времени на эксперименты, на компьютере установлена 1С и рабочие файлы для каждодневной работы, не мог ждать. - Подготовьте несколько небольших зашифрованных документов (двух будет достаточно), файл с требованиями злоумышленников и упакуйте их в архив. - сделано, там три мелких файла и файл с текстом требования, все в архиве. - Сохраните в отдельном архиве с паролем (virus) файл шифровальщика, если его удалось найти (он может понадобится для отправки в техподдержку компании). Внимание: не нужно самостоятельно прикреплять файлы вируса на форуме. - я отсканировал все оставшиеся диски по очереди, к сожалению вируса там не было, видать он был на системном диске который я переформатировал и переустановил ОС. Как итог, из трех требований которые озвучены для создания темы, у меня реализовано только второе, зашифрованные файлы и файл текста с требованием (((((

дело не в них, делал бэкапы и проверял есть ли какие то торможения - все было идеально, сейчас начал наблюдать уже действия вирусов, если как то возможно мне помочь, буду признателен, если нет, то спасибо что пытались

Перечитайте Правила оформления запроса о помощи и пришлите необходимые логи.

Продолжайте чтение правил, пока не сделаете и не пришлете еще и логи по правилам.

А что вам так далась аппаратная виртуализация? Она на скорость работы антивируса никак не влияет.

Все доброго времени суток. Для начала туп как пробка, и совсем не разбираюсь в вопросе. Не смотря на то что у меня стоить Касперский Премиум, я каким то чудом словил шифровальщик Loki Locker. В ПК у меня стояло 5 дисков + сетевой диск к которому с ПК был безконтрольный доступ. Эта зараза зашифровала абсолютно все. Мен спасло только то что был свежий бэкап важно по работе информации. Но как итог, отключил 4 диска, системный снес и поставил чистую винду, подключил несистемный ССД, снес полностью заново проинициализировал, создал том. Восстановил. Осталось еще 3 HDD, два по 4ТБ и один на 2 ТБ. Вот их надо спасти и дешифровать, там слишком много полезной информации. Прикрепляю три зашифрованных файла и текст требование. На сайте касперского и крипто шериф искал - нету. Помогите пожалуйста. Loki.rar

в архиве 2 файла и записка readme.rar