Активность

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Маяк в Городе Дербент. 23 августа 2025 года

Да, Касперский при быстром и полном сканировании ни на что не ругается, так что можно выдохнуть. Спасибо за помощь! Теперь мне гораздо спокойнее!

Здравствуйте, прикрепляю логи AV_block_remove_2025.08.24-19.34.log CollectionLog-2025.08.24-19.43.zip

Здравствуйте. Скачайте AV block remover. Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AVbr123.exe (или любое другое имя). Если и так не запускается, запустите его в безопасном режиме с поддержкой сети. В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

Понял, исправляюсь Отчет сборщика логов прикрепляю CollectionLog-2025.08.24-19.25.zip

Порядок оформления запроса о помощи Не выполняйте то, что написано не для вас.

Здравствуйте! Попал в руки ноутбук, в ходе профилактической проверки KVRT обнаружил много интересного, а именно - Trojan.Multi.KillAV.c и кучу Trojan.Win32.Miner.gen. Также присутствует учетная запись John. Часть попытался подчистить, затем скачал Farbar Recovery Scan Tool как советовали в соседней теме и запустил скан. Отчеты прикладываю. Подскажите, пожалуйста, как дальше действовать, чтобы вычистить зловреда из системы? Addition.txt FRST.txt

Г. Каспийск, 21 августа 2025 г. «Есть только два способа прожить жизнь. Первый — будто чудес не существует. Второй — будто кругом одни чудеса.»

2025-08-24. Литва. Город Вильнус. Микро район Юстинишкес. Дорога в магазин

Ясно. Все что можно было, мы зачистили, если при сканировании Касперским нет обнаружений SEPEH, значит, нет его уже. По возможности, обновите данное ПО: CrystalDiskInfo 9.2.3 v.9.2.3 Внимание! Скачать обновления CrystalDiskMark 3.0.1c v.3.0.1c Внимание! Скачать обновления NVIDIA GeForce Experience 3.28.0.412 v.3.28.0.412 Внимание! Скачать обновления Данная программа больше не поддерживается разработчиком. Рекомендуется использовать Приложение NVIDIA. Geeks3D FurMark 1.21.2.0 v.1.21.2.0 Внимание! Скачать обновления FastStone Image Viewer 6.4 v.6.4 Внимание! Скачать обновления -------------------------- [ IMAndCollaborate ] --------------------------- Discord v.1.0.9008 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.6.0.47196 Внимание! Клиент сети P2P с рекламным модулем! -------------------------------- [ Media ] -------------------------------- K-Lite Codec Pack 18.6.0 Standard v.18.6.0 Внимание! Скачать обновления

Спасибо! Дело в том что Windows Update заработал ещё после отката системы к контрольной точке, это я в первом посте писал, с тех пор работает. Я больше волновался о том не осталось ли какой-то погани в системе после работы антивируса, о чем, собственно тоже писал в первом посте. SecurityCheck2.txt

Что сейчас с проблемой запуска центра обновления W? Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению.

Спасибо! Сделал. Fixlog.txt

По очистке системы Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: AS: Avast Antivirus (Disabled - Up to date) {5078598A-1FA2-C888-AA5F-A9C66537DB12} AlternateDataStreams: C:\WINDOWS\tracing:? [16] AlternateDataStreams: C:\Users\Specter\Application Data:087af38c42a2e82c16575997b2d7a77b [394] AlternateDataStreams: C:\Users\Specter\Application Data:b3182b5bce2d350c85976530cca7f2a6 [394] AlternateDataStreams: C:\Users\Specter\AppData\Roaming:087af38c42a2e82c16575997b2d7a77b [394] AlternateDataStreams: C:\Users\Specter\AppData\Roaming:b3182b5bce2d350c85976530cca7f2a6 [394] Startup: C:\Users\Specter\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\aida64.exe [2025-07-13] (FinalWire Ltd.) [Файл не подписан] Startup: C:\Users\Specter\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\aida64.ini [2025-08-21] () [Файл не подписан] HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ Task: {296036a7-845a-49e7-bc23-ac54de01f107} - отсутствует путь к файлу. <==== ВНИМАНИЕ Task: {9d5c987f-4970-48c6-a80b-0928482b6fb3} - отсутствует путь к файлу. <==== ВНИМАНИЕ Task: {d19da108-b87c-429e-9a7e-4562f5c3f03b} - отсутствует путь к файлу. <==== ВНИМАНИЕ S4 AmdTools64; \SystemRoot\System32\drivers\AmdTools64.sys [X] S3 HWiNFO_204; \??\C:\Users\Specter\AppData\Local\Temp\HWiNFO_x64_204.sys [X] <==== ВНИМАНИЕ Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Спасибо! Aida64 нужна была для запуска мониторинга некоторых параметров через оверлей Afterburnera, у него сейчас отсутствует нативный мониторинг нужных параметров на моём железе, например температуры процессора, но Afterburner умеет брать информацию у сторонних приложений , таких как Aida или HWInfo. Но работало это через автозапуск криво, так что сейчас я его руками стартую, а в автозапуске он действительно не нужен. Ссылка на архив. https://cloud.mail.ru/public/9Bom/xzfrv77GY

Файлы в приложении C:\FRST\Quarantine https://disk.yandex.ru/d/eJbZ8KpcafQ9Jw Fixlog.txt

По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ Task: {1F8AF4E2-D717-41DD-A5C5-3C4254B01863} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\Unlock -> Нет файла <==== ВНИМАНИЕ Task: {2323D594-3C5C-48B3-8774-A0B399336F19} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\OnIdle -> Нет файла <==== ВНИМАНИЕ Task: {63E015E3-E467-4A05-A636-1C520DF3638E} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\Logon -> Нет файла <==== ВНИМАНИЕ Task: {DCDED0B4-3C9D-4C34-9490-ECA4731C5353} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\Time -> Нет файла <==== ВНИМАНИЕ Task: {E4C2AD12-0E5E-49B3-8F66-06622FD40FAE} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\OutOfIdle -> Нет файла <==== ВНИМАНИЕ Task: {F19ACB1F-AC90-40DB-B422-B646CBE0E947} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\RunCampaignManager2 -> Нет файла <==== ВНИМАНИЕ Task: {FC16EC1D-23A3-4B86-AAE2-0FA349F109FB} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ S3 cpuz143; \??\C:\WINDOWS\temp\cpuz143\cpuz143_x64.sys [X] <==== ВНИМАНИЕ S3 cpuz145; \??\C:\WINDOWS\temp\cpuz145\cpuz145_x64.sys [X] <==== ВНИМАНИЕ 2025-08-24 11:24 - 2025-08-24 11:24 - 000000973 _____ C:\Users\rdp_profirost_zp\AppData\Local\Decrypt_enkacrypt.txt 2025-08-23 23:16 - 2025-08-24 04:02 - 000000000 ____D C:\temp 2025-08-24 12:51 - 2023-08-28 20:32 - 000000000 __SHD C:\Users\rdp_profirost_zp\AppData\Local\A830A994-1E61-805B-532D-74E13170897A Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Прикрепляю файлы Файл с требованиями злоумышленников был случайно удалено, но в нем содержались след данны decryption ID is F3f59ZrkCMVp8JD9fcP48NnmGPuFCl62p53uwGSWpD8*enkacrypt-F3f59ZrkCMVp8JD9fcP48NnmGPuFCl62p53uwGSWpD8 почта enkacrypt@onionmail.org enkacrypt@proton.me Addition_24-08-2025 14.04.01.txt FRST_24-08-2025 14.02.48.txt файлы зашифрованные.rar

@Denis Molin. Следуя правилам: от вас нужны несколько зашифрованных файлов и записка о выкупе в архиве без пароля + логи FRST (файлы Addition.txt и FRST.txt) из системы, где произошло шифрование.

Как интерпретировать ошибку, можно погуглить решения в сети. Ошибка 0x81000203 в Windows означает, что произошел сбой или отключение функции "Системное восстановление" или службы "Теневое копирование тома", что мешает созданию точек восстановления или выполнению восстановления системы Ошибки приложения: ================== Error: (08/23/2025 12:38:50 PM) (Source: VSS) (EventID: 12292) (User: ) Description: Ошибка теневого копирования тома: Ошибка при создании класса поставщика теневого копирования COM с CLSID {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} [0x80070424, Указанная служба не установлена. ].

разумеется, по закону Яровой

Порядок оформления запроса о помощи