Активность

По очистке системы: Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. ;uVS v5.0v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delall %SystemDrive%\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL apply regt 27 deltmp delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {1FD49718-1D00-4B19-AF5F-070AF6D5D54C}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\MSEDGE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\22.11.5.709\INSTALLER\YNDXSTP.EXE delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\DRIVERS\VMBUSR.SYS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\PDFPREVIEW\PDFPREVIEWHANDLER.DLL delref {21E17C2F-AD3A-4B89-841F-09CFE02D16B7}\[CLSID] delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %SystemDrive%\PROGRAMDATA\MICROSOFT\MAPDATA\UR24F8FUOO\GLOBALDATAJ.BAT delref %Sys32%\TASKS\MICROSOFT\WINDOWS\GLOBALDATAJ\RECOVERYHOSTS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\INSTALLER\SETUP.EXE delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\ELEVATION_SERVICE.EXE delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\DEFINITION UPDATES\DEFAULT\MPKSL77CCBEB0.SYS delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\USERS\PROFESSIONAL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BLPCFGOKAKMGNKCOJHHKBFBLDKACNBEO\4.2.8_0\YOUTUBE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\BOOKMARK_MANAGER\BOOKMARK MANAGER delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.51\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\FEEDBACK\FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\CLOUD_PRINT\CLOUD PRINT delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.114\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION delref %SystemDrive%\USERS\PROFESSIONAL\APPDATA\LOCALLOW\IGDUMP\SEC\IG.EXE delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVIDIA APP\CEF\NVIDIA APP.EXE delref F:\RISK OF RAIN 2\RISK OF RAIN 2.EXE ;------------------------------------------------------------- restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + добавьте новые логи FRST для контроля

Да, процесс лечения здесь не мгновенный, занимает определенное время, так что смело ложитесь спать, образ проверю, скрипт очистки напишу, если что-то будет найдено. К тому же здесь у всех разные часовые пояса.

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Дико извиняюсь, но меня ужасно клонит спать. Отвечу Вам цитатой когда проснусь и всё сделаю.

Это немного настораживает. Но в любом случае спасибо за помощь и потраченное время! Если время покажет что проблема вернулась, я ещё открою новую тему. А пока что ещё раз спасибо и думаю эту можно закрывать если добавить нечего.

USER-PC_2025-08-23_14-33-15_v5.0.RC2.v x64.7z

Время покажет. Защита установлена и работает корректно. По возможности обновите данное ПО. Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления

Как я понимаю, проблем быть больше не должно и у меня просто разыгралась паранойя? Лог: SecurityCheck.txt

Если образ автозапуска уже создали Добавьте, так же образ автозапуска из uVS.

Хорошо. завершающие шаги: Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению.

Здравствуйте, что-то думаю будет видно по трассировкам KSC, но прочитать вы их вероятно не сможете. Тут лучше кейс завести через Kaspersky Company Account.

Решил поиграть в игрульки. Скачал через установщик и мне жёстко захотелось включить сканер, появляется чудо, которое: Выносит этот сканировщик с прекращением процесса Создаёт папки почти всех антивирусов, сделала скрытными и запретила туда заходить, в том числе AutoLogger воткнул в декстоп и в загрузки. (убрал все папки ручками) Заносит групповые политики (сбросил) Перебрасывает KernelMode (убил AVZ) Заносит сверху мышей, которые не детектились AVZ (https://www.virustotal.com/gui/file/58ac22a286cae5b293ff5ebb87f06ec106e0b2c0ae0318e7c5faa5e329b210ce и https://www.virustotal.com/gui/file/189a142a9a113258c6f8c51e54003ce71892d32dfde0c6c2c561a347f217798f) Либо они уже создались когда работал malwarebytes и после AVZ, а вычистил уже самостоятельно через everything (были в ProgramFiles/x86/Data и в подпапках Appdata) Потыкал манифесты и планировщик (убил второе, а манифесты ещё нет, будто не надо) Потрогал сервисы на подключение к удал. столу (хотя были удалены, можно на уровне иммунизации запретить её установку?) И наконец потрогал Prefetch-файлы. Почти всё прогонял через AVZ, через UvS проверял файлы на активность и удалял не особо критичные для системы. Потом поковырялся в созданном майнере файлах, парочку из них были раскиданы где куда. По итогу, система не может создать точки восстановления и работать с приложениями из-за необрабатываемого исключения, пишет мол "файл "С/....." не найден" Я боюсь перезагружаться. Подскажите, что дальше делать и что присылать? Прикрепляю лог после этого мордобоя вместе с FRST (если он нужен) + скрин остатков, начиная с 9:49 CollectionLog-2025.08.23-13.29.zip FRST.txt Addition.txt

По поводу проблем с системой: их не было с момента срабатывания антивируса, я писал об этом в описании темы. Просто меня очень смутил сам факт того что после полного форматирования дисков, на свежей установленной системе я получил срабатывание антивируса и нестабильность системы была похожей на ту что была до переустановки и форматирования, резко поднялась нагрузка на процесcор, взвыл процессорный кулер, та же самая ошибка отказа в доступе, но все это прошло сравнительно быстро, как только файлы оказались в карантине. Поэтому у меня закрались закономерные сомнения, что ЕСЛИ этот вирус смог пережить форматирование то тогда может то что поймал антивирус лишь отсрочит проблему, а не решит её, а поскольку у меня нету каких либо продвинутых знаний по этой теме, вот обратился сюда что бы мои сомнения развеяли или наоборот подтвердили. Впрочем все это лишь мои домыслы и конкретно сейчас все в порядке и проблем я не наблюдаю! Прикладываю лог: Fixlog.txt

По очистке системы: Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. ;uVS v5.0v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE hide %SystemDrive%\PROGRAM FILES\CORSAIR\CORSAIR ICUE 4 SOFTWARE\CORSAIR.SERVICE.DISPLAYADAPTER.EXE ;------------------------autoscript--------------------------- delall %SystemRoot%\TEMP\E_SE57F.TMP delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IESR02 delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEOFCBNMAJMJMPLFLAPAOJJNIHCJKIGCK%26INSTALLSOURCE%3DONDEMAND%26UC delall %SystemDrive%\USERS\SPECTER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ICUE.LNK delall %SystemDrive%\PROGRAM FILES (X86)\CORSAIR\CORSAIR ICUE SOFTWARE\ICUE.EXE delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\TRA.LNK delall %SystemDrive%\EAL\TRA.EXE delall %SystemDrive%\USERS\SPECTER\APPDATA\LOCAL\YUZU\YUZU-WINDOWS-MSVC\YUZU.EXE delall %SystemDrive%\USERS\SPECTER\APPDATA\LOCAL\YUZU\MAINTENANCETOOL.EXE zoo H:\GAMES\ARCANUM MULTIVERSE EDITION\UNINSTALL\UNINSTALL.EXE addsgn 9252779A1E6AC1CC0BC45B4EA34FE64C2E8AC1F4FAD148F1604E5998D0178EB312D7936EE220660F6DD3ECED471949ADFE1CEC213D819D282D2127ECC35572B4 13 Win32/Delf 7 chklst delvir apply regt 27 deltmp delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\22.9.1.1095\SERVICE_UPDATE.EXE delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID] delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID] delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID] delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\MSI\ONE DRAGON CENTER\MSI.NOTIFYSERVER.EXE delref %SystemDrive%\MSI\MSI CENTER\SUPPORT\SDRIVER\SETUP.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MOO0\AUDIORECORDER 1.46\VOICERECORDER.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {59EFE487-E5B8-4FAE-9D2C-FCDF0B70CE70}\[CLSID] delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.16\X64\SHELLEX.DLL delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.16\SHELLEX.DLL delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\X64\SHELLEX.DLL delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\SHELLEX.DLL delref %Sys32%\DRIVERS\VMBUSR.SYS delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL delref %Sys32%\PWCREATOR.EXE delref %Sys32%\WIN32CALC.EXE delref %Sys32%\DRIVERS\SCMDISK0101.SYS delref %Sys32%\DRIVERS\BTHLEENUM.SYS delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref %SystemDrive%\PROGRAMDATA\NEXON\NGS\BLACKCAT1.SYS delref %Sys32%\DRIVERS\CMDRV64.SYS delref %SystemRoot%\TEMP\CPUZ149\CPUZ149_X64.SYS delref %SystemDrive%\USERS\SPECTER\APPDATA\LOCAL\TEMP\GPU-Z-V2.SYS delref %SystemDrive%\USERS\SPECTER\APPDATA\LOCAL\TEMP\HWINFO64A_158.SYS delref %SystemDrive%\USERS\SPECTER\APPDATA\LOCAL\TEMP\HWINFO64A_161.SYS delref %SystemDrive%\USERS\SPECTER\APPDATA\LOCAL\TEMP\HWINFO64A_173.SYS delref J:\NTIOLIB_X64.SYS delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\67.0.3396.99\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\138.0.7204.51\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\67.0.3396.99\RESOURCES\FEEDBACK\FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\72.0.3626.96\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\67.0.3396.99\RESOURCES\CLOUD_PRINT\CLOUD PRINT delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\67.0.3396.99\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\67.0.3396.99\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\136.0.7103.48\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\USERS\SPECTER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\22.1.5.810\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ delref %SystemDrive%\USERS\SPECTER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\22.1.5.810\RESOURCES\YANDEX\BOOK_READER\BOOKREADER delref %SystemDrive%\USERS\SPECTER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\22.1.5.810\RESOURCES\OPERA_STORE\OPERA STORE delref %SystemDrive%\USERS\SPECTER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\22.1.5.810\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\USERS\SPECTER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\22.1.5.810\RESOURCES\PDF\CHROMIUM PDF VIEWER delref %SystemDrive%\USERS\SPECTER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.0.2947\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\116.0.1938.69\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.55\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\PDF\MICROSOFT EDGE PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\139.0.3405.102\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION delref L:\LENOVO_SUITE.EXE delref D:\SETUP.EXE delref J:\DVDSETUP.EXE delref J:\SETUP.EXE delref P:\SETUP.EXE delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVIDIA BROADCAST\NVIDIA BROADCAST.EXE --PROCESS-START-ARGS delref O:\TORRENTS\BEAT SABER 1.30.0 [RUTRACKER]\BEAT SABER\BEAT SABER.EXE delref O:\TORRENT GAMES\CULT OF THE LAMB V.1.0.8 (2022)\CULT OF THE LAMB\CULT OF THE LAMB.EXE delref L:\DYSCHRONIA_CHRONOSALTERNATE\VR\DYSCHRONIA.EXE delref O:\TORRENTS\ETD2 [1.9.2]\ELEMENT TD 2\ELEMENT TD 2.EXE delref O:\TORRENTS\CLAIR OBSCUR. EXPEDITION 33 (2025)\EXPEDITION 33\EXPEDITION33_STEAM.EXE delref H:\ТОРРЕНТЫ ИГРЫ\SOR2X_V1.9\OPENBOR.EXE delref O:\TORRENTS\REDEMPTION REAPERS 1.4.0\REDEMPTIONREAPERS.EXE delref O:\TORRENTS\TEMPEST RISING (2025)\TEMPEST RISING\TEMPEST.EXE delref O:\TORRENTS\TEENAGE MUTANT NINJA TURTLES SHREDDER'S REVENGE PORTABLE\TMNT.EXE delref %SystemDrive%\USERS\SPECTER\DOWNLOADS\TOASTWALLET 2.3.10.EXE delref O:\XENIA_MASTER\XENIA.EXE delref O:\TORRENT GAMES\CULT_OF_THE_LAMB_1.0.18_(59721)_WIN_GOG\CULT OF THE LAMB\CULT OF THE LAMB.EXE delref %SystemRoot%10UPGRADE\WINDOWS10UPGRADERAPP.EXE delref O:\TORRENT GAMES\CULT_OF_THE_LAMB_1.0.18_(59721)_WIN_GOG\CULT OF THE LAMB\UNINS000.EXE delref H:\GOG GALAXY\GAMES\WARHAMMER CHAOSBANE\EXE\RESOLUTIONSOPTIONS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\DCF\DATABASECOMPARE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\DCF\SPREADSHEETCOMPARE.EXE ;------------------------------------------------------------- restart czoo После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + добавьте новые логи FRST для контроля

По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ IFEO\EOSnotify.exe: [Debugger] / IFEO\InstallAgent.exe: [Debugger] / IFEO\MoNotificationUx.exe: [Debugger] / IFEO\MusNotification.exe: [Debugger] / IFEO\MusNotificationUx.exe: [Debugger] / IFEO\remsh.exe: [Debugger] / IFEO\SihClient.exe: [Debugger] / IFEO\UpdateAssistant.exe: [Debugger] / IFEO\UsoClient.exe: [Debugger] / IFEO\WaaSMedic.exe: [Debugger] / IFEO\WaasMedicAgent.exe: [Debugger] / IFEO\Windows10Upgrade.exe: [Debugger] / IFEO\Windows10UpgraderApp.exe: [Debugger] / Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Напишите, наблюдается ли сейчас проблема в системе или ушла после скриптов?

Шифрование точно на этом устройстве было? следов шифрования нет. Нет записки, нет зашифрованных файлов в каталогах. Логи FRST надо передлать от имени Администратора. Запущено с помощью dolgikh.a.i (ВНИМАНИЕ: Пользователь не является Администратором) на PC-41 (Gigabyte Technology Co., Ltd. H87-D3H) (22-08-2025 15:38:02)

Сделал. COMPUTER_2025-08-23_12-45-17_v5.0v x64.7z

2025-08-23_12-29-47_log.txtAddition.txtFRST.txt

По очистке системы: Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. ;uVS v5.0v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- deltmp delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref %SystemDrive%\PROGRAM FILES\RUXIM\PLUGSCHEDULER.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\DRIVERS\VMBUSR.SYS delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref %SystemDrive%\PROGRAM FILES\MICROSOFT UPDATE HEALTH TOOLS\UHSSVC.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.56\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.56\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.56\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.56\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.56\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.56\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.56\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.56\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE ;------------------------------------------------------------- restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + добавьте новые логи FRST для контроля

Доброго дня. Коснулась напасть сия. Шифровщика по окончанию злодеяния нет. Во вложении: 1. Логи FRST 2. Результат проверки KVRT 3. Пример зашифрованных файлов + KEY файл и письмо Decryption Спасибо заранее за уделенное время. crypt.rar FRST.rar KVRT2020_Data.rar

С Днём Рождения!

WIN-2MQ4G6JKT0G_2025-08-23_06-52-40_v5.0v x64.7z Сделано.

+ дополнительно сделайте образ автозапуска системы. Сделайте дополнительно образ автозапуска в uVS: Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса. 1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог. 2. запустите из каталога с модулями uVS файл Start.exe (для Vista, W7- W11 выберите запуск от имени Администратора) 3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора) 3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4 Если запросили образ автозапуска с отслеживанием процессов и задач: В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. 4. Далее, меню "Файл" / Сохранить Полный образ автозапуска. 5. Дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

+ дополнительно сделайте образ автозапуска системы. Сделайте дополнительно образ автозапуска в uVS: Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса. 1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог. 2. запустите из каталога с модулями uVS файл Start.exe (для Vista, W7- W11 выберите запуск от имени Администратора) 3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора) 3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4 Если запросили образ автозапуска с отслеживанием процессов и задач: В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. 4. Далее, меню "Файл" / Сохранить Полный образ автозапуска. 5. Дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. Stanislav (36)Михалыч (66)emilsq06 (41)mcomodo (54)fitiss (36)Берг (61)Sergey2375 (38)