Активность
- Последний час
-
Rafaello scored 50% in a quiz: Викторина по первым десяти годам Kaspersky Club
-
Пойман шифровальшик
Olegon_Drrr ответил Olegon_Drrr тема в Помощь в борьбе с шифровальщиками-вымогателями
Видел в сеансе взломаного пользователя в cmd, когда вошёл readme.txt- 6 ответов
-
- шифровальщик
- diametr.exe
-
(и ещё 1 )
C тегом:
-
Пойман шифровальшик
safety ответил Olegon_Drrr тема в Помощь в борьбе с шифровальщиками-вымогателями
а эти команды откуда? Прописаны в каком-то командном файле? Добавьте так же эти файлы в архиве, с паролем virus Отвечу немного позже- 6 ответов
-
- шифровальщик
- diametr.exe
-
(и ещё 1 )
C тегом:
-
Прошу помощи с удалением трояна MEM:Trojan.Win32.SEPEH.gen
thyrex ответил Eureka911 тема в Помощь в удалении вирусов
Здравствуйте. Выполните Порядок оформления запроса о помощи. Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме. -
Пойман шифровальшик
Olegon_Drrr ответил Olegon_Drrr тема в Помощь в борьбе с шифровальщиками-вымогателями
пароль virus virus.rar- 6 ответов
-
- шифровальщик
- diametr.exe
-
(и ещё 1 )
C тегом:
-
Пойман шифровальшик
safety ответил Olegon_Drrr тема в Помощь в борьбе с шифровальщиками-вымогателями
Добавьте этот архив в ваше сообщение, пр условии, что он был создан с паролем virus- 6 ответов
-
- шифровальщик
- diametr.exe
-
(и ещё 1 )
C тегом:
-
Пойман шифровальшик
Olegon_Drrr ответил Olegon_Drrr тема в Помощь в борьбе с шифровальщиками-вымогателями
исполняемые файлы с корня системного диска, скорее всего это и есть сам шифровальщик- 6 ответов
-
- шифровальщик
- diametr.exe
-
(и ещё 1 )
C тегом:
-
Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши) O26 - Tools: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs\ScreenTint [StartExe] = screentint (file missing) удалите через Панель управления – Программы и компоненты или принудительно с помощью Geek Uninstaller 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ ProxyServer: [S-1-5-21-3928841626-3884261897-995023496-1001] => 127.0.0.1:2080 C:\Users\sarac\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ggnchfknjkebijkdlbddehcpgfebapdc C:\Users\sarac\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\hklhmkcccljmfginmcgflajpbhpnjalg S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1486848 2026-07-05] (Microsoft Windows -> Microsoft Corporation) S3 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [98304 2026-07-05] (Microsoft Windows -> Microsoft Corporation) S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [106496 2026-07-05] (Microsoft Windows -> Microsoft Corporation) S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [94208 2026-07-05] (Microsoft Windows -> Microsoft Corporation) S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [179704 2026-07-05] (Microsoft Windows -> Корпорация Майкрософт) S3 cpuz154; \??\C:\WINDOWS\temp\cpuz154\cpuz154_x64.sys (Нет файла) <==== ВНИМАНИЕ 2026-07-05 08:05 - 2026-07-05 09:37 - 939336193 _____ () C:\ProgramData\fqupxqtgiuun.exe C:\Windows\Temp\mmziwvqbgewq.sys CustomCLSID: HKU\S-1-5-21-3928841626-3884261897-995023496-1001_Classes\CLSID\{D0E646DB-70D6-4D13-BF56-02CA96FACE5C}\InprocServer32 -> LptdS3.dll => Нет файла ShellIconOverlayIdentifiers: [ tdpico] -> {c88d4dbb-d890-40b6-bcc7-bca43c1eb5ee} => C:\Program Files (x86)\IObit\Advanced SystemCare\ASCSafeFolderShlExt.dll -> Нет файла ContextMenuHandlers1: [iTop Desktop Manager] -> {609ED1DF-1540-4F2E-BAAC-C2C9CDB64C00} => C:\PROGRA~1\iTop Easy Desktop\IEDMenu.dll -> Нет файла ContextMenuHandlers2: [iTop Desktop Manager] -> {609ED1DF-1540-4F2E-BAAC-C2C9CDB64C00} => C:\PROGRA~1\iTop Easy Desktop\IEDMenu.dll -> Нет файла ContextMenuHandlers4: [iTop Desktop Manager] -> {609ED1DF-1540-4F2E-BAAC-C2C9CDB64C00} => C:\PROGRA~1\iTop Easy Desktop\IEDMenu.dll -> Нет файла ContextMenuHandlers5: [iTop Desktop Manager] -> {609ED1DF-1540-4F2E-BAAC-C2C9CDB64C00} => C:\PROGRA~1\iTop Easy Desktop\IEDMenu.dll -> Нет файла ContextMenuHandlers6: [iTop Desktop Manager] -> {609ED1DF-1540-4F2E-BAAC-C2C9CDB64C00} => C:\PROGRA~1\iTop Easy Desktop\IEDMenu.dll -> Нет файла StartPowershell: Remove-MpPreference -ExclusionExtension ".exe" Remove-MpPreference -ExclusionExtension ".sys" Remove-MpPreference -ExclusionPath "C:\ProgramData" Remove-MpPreference -ExclusionPath "C:\WINDOWS" Remove-MpPreference -ExclusionPath "C:\ProgramData\fqupxqtgiuun.exe" Remove-MpPreference -ExclusionProcess "powershell.exe" Remove-MpPreference -ExclusionProcess "fqupxqtgiuun.exe" EndPowerShell: HKU\S-1-5-21-3928841626-3884261897-995023496-1001\...\StartupApproved\Run: => "utweb" HKU\S-1-5-21-3928841626-3884261897-995023496-1001\...\StartupApproved\Run: => "Advanced SystemCare" FirewallRules: [{E979CF9E-E660-4FD4-A2E4-FEC8E9B1864A}] => (Allow) C:\Program Files (x86)\Overwolf\0.300.0.11\OverwolfBrowser.exe => Нет файла FirewallRules: [{1E6EAAF3-EBBE-4D5F-B054-2AF6AD38013C}] => (Allow) C:\Program Files (x86)\Overwolf\0.300.0.11\OverwolfBrowser.exe => Нет файла FirewallRules: [{1A40A9C1-CF22-4AD5-A0E4-8DF8DA6DF77D}] => (Block) C:\Program Files (x86)\Overwolf\0.300.0.11\OverwolfBrowser.exe => Нет файла FirewallRules: [{A86E4D1E-18A5-4128-A7E9-A90D1746CB67}] => (Block) C:\Program Files (x86)\Overwolf\0.300.0.11\OverwolfBrowser.exe => Нет файла Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-11-24H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр, после этого перезагрузите компьютер.
-
Пойман шифровальшик
safety ответил Olegon_Drrr тема в Помощь в борьбе с шифровальщиками-вымогателями
В этом файле что у вас? 2026-07-05 13:49 - 2026-07-05 13:49 - 000431606 _____ C:\Users\VityuninVV.OPTIMA\Desktop\virus.rar- 6 ответов
-
- шифровальщик
- diametr.exe
-
(и ещё 1 )
C тегом:
-
Eureka911 подписался на Прошу помощи с удалением трояна MEM:Trojan.Win32.SEPEH.gen
-
Прошу помощи с удалением трояна MEM:Trojan.Win32.SEPEH.gen
Eureka911 опубликовал тема в Помощь в удалении вирусов
Добрый день. Сегодня во время еженедельной полной проверки системы Касперским, появилось сообщение об обнаружении трояна MEM:Trojan.Win32.SEPEH.gen. Удалить его касперский не смог. Каких то подозрительных процессов я не обнаружил. Логи прилагаю. Прошу помочь разобраться что это и как убрать. Заранее спасибо. Addition.txt FRST.txt Касперский 2026.07.05-12.33.txt - Сегодня
-
Olegon_Drrr подписался на Пойман шифровальшик
-
Добрый день, поймали шифровальщик diametr.exe текст сообщения следующий 🔒 WHAT HAPPENED? 🔒 Your network has been breached. All your critical files, databases, and backups are encrypted. Do not waste time. Do not involve law enforcement. Do not try recovery tools — they will destroy your data permanently. 📆 Deadline: 48 hours 🔗 Our emaif for contact (use ProtonMail for write email): decrypcenter@onionmail.org There you will find: - Your personal decryption tool (unique ID: 86d0911e5fb69b003a8f058f712f77c230bb9c059e4e04a3a12b9a32d237a99) - Proof that we have your data (sample decryption) - Negotiation chat (if you cooperate) ⚠️ IMPORTANT: 1. Do not rename, move, or modify encrypted files. 2. Only Monero or Bitcoin are accepted. No chargebacks. 📎 Your unique ID: 86d0911e5fb69b003a8f058f712f77c230bb9c059e4e04a3a12b9a32d237a99 We are not a political group. We are a business. Pay and move on. лежит в текстовом файле в корне дисков, расширения файлов теперь xlsx.5c81a2d889169033 В наличии также есть екзешники и команды, которыми зашифровывались диски, такого типа diametr.exe b0....b5 -r E: Addition.txt FRST.txt Crypt.zip
- 6 ответов
-
- шифровальщик
- diametr.exe
-
(и ещё 1 )
C тегом:
-
Eureka911 присоединился к сообществу
-
intel innovation platform framework service проверил при выкл нет при вкл появляется
-
Olegon_Drrr присоединился к сообществу
-
Оба файла в папке! Вроде бы больше вируса больше нет.. Не знаю как вас благодарить! Спасибо огромное. Стоит просканировать еще раз Dr.Web? frst.zip.zip
-
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). Будьте внимательны: при сканировании секции Другие области программа не зависает, а продолжает работать, нужно просто немного подождать. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
-
quarantine.7z у меня получился пустой... не знаю почему. как исправить чтобы скинуть? CollectionLog-2026.07.05-10.31.zip
-
best scored 100% in a quiz: Викторина по первым десяти годам Kaspersky Club
-
В обычном режиме нужно. Нажмите комбинацию Win+R и введите слово msconfig.
-
Пуск - Поиск / Выполнить - msconfig в диагностическом режиме - не появляется Не отображать службы Microsoft. Отключите все отображенные службы- не появляется Автозагрузку не трогал значит причина в одной из этих служб ... буду искать какая
-
Запустите систему в режиме чистой загрузки и постарайтесь определить - будет ли появляться квадрат. В зависимости от результата будут дальнейшие инструкции.
-
-
Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Загрузитесь в безопасном режиме. Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; SetServiceStart('FMGEEOFG', 4); QuarantineFile('C:\ProgramData\fqupxqtgiuun.exe',''); DeleteFile('C:\ProgramData\fqupxqtgiuun.exe','64'); DeleteSchedulerTask('Driver Booster SkipUAC (sarac)'); DeleteSchedulerTask('Driver Booster Update'); DeleteSchedulerTask('Software Updater Scheduler'); DeleteSchedulerTask('Software Updater SkipUAC(sarac)'); DeleteService('FMGEEOFG'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Загрузитесь в обычном режиме. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end. Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
-
Добрый день! Спасибо и извините :c CollectionLog-2026.07.05-08.55.zip
-
Здравствуйте. Выполните Порядок оформления запроса о помощи. Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
-
renekka_s подписался на Вирус нашли - не знаю как удалить
-
Что мы имеем... Стал сильно нагреваться ноут (Ardor neo) у них и так достаточно высокая температура при загрузке, но доходило >100 после замены термопасты и чистки. 1. AVZ не открывался до переименования как и Autoruns 2. Dr.web дважды сканировал и находил троян, удалял - не помогало 3. Естественно редактор реестра невозможно открыть, через cmd пробовала менять доступ и AVZ, все равно закрывается. В логе dr.web была строчка про ProgramData\fqupxqtgiuun.exe powercfg.exe conhost.exe. лежит по пути C:\ProgramData\fqupxqtgiuun.exe цифровой подписи нет и тд. через авторан посмотрели что к нему относится служба FMGEEOFG HKLM\System\CurrentControlSet\Services Addition.txtShortcut.txt wmic process get ProcessId,ExecutablePath | findstr /i "ProgramData" ---> FMGEEOFG ImagePath: C:\ProgramData\fqupxqtgiuun.exe с командой sc stop FMGEEOFG и sc delete FMGEEOFG успех выдает успех но при обновлении авторана служба снова появляется, хотя fqupxqtgiuun.exe в диспетчере я не увидела. Имя_службы: FMGEEOFG Тип : 10 WIN32_OWN_PROCESS Тип_запуска : 2 AUTO_START Управление_ошибками : 1 NORMAL Имя_двоичного_файла : C:\ProgramData\fqupxqtgiuun.exe Группа_запуска : Тег : 0 Выводимое_имя : FMGEEOFG Зависимости : Начальное_имя_службы : LocalSystem хз что делать в общем. я не разбираюсь и понять не могу как исправить. avz_log.txtFRST.txt
-
renekka_s присоединился к сообществу
-
Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. gensek (52)D@gon (36)Stancore (48)Romka (35)Марьям (40)dumitrumda (55)A.K. (37)ALCOPONE5788 (38)znamenka (53)doc_fbi (48)Romanta (55)ЁлкаПалка (35)
- Вчера
-
askys присоединился к сообществу
-
-
023xxx-026xxx - фильтр-2 злобствует и режет просто всё подряд: 023xxx-026xxx-filter.txt 023xxx-026xxx-filter.xods К обсчёту всего 14 штук => 026156 026656 026167 026667 026676 026256 026677 026267 026678 026276 026277 026766 026278 026778
.png.7cedf2eda455330fd095b4f4e074044d.png)