Активность

Скрипт очисткиможно на всех хостах применять? или же надо учитывать пользователей профили?

выложите файл бэкапа

понял, в любом случае, спасибо вам за уделенное время

С расшифровкой файлов по данному типу шифровальщика не сможем помочь

С расшифровкой по данному типу шифровальщика к сожалению не сможем помочь без приватного ключа.

Проверять на virustotal нужно было не прямо в архиве, а разархивировать и отправить на проверку exe-файл. Если Вы его и запускаете прямо из архива, то вот Вам и ответ куда все исчезает.

вот файл Fixlog.txt

Спасибо. В Опере нет смысла, там в менеджере паролей нету адреса 192.168.0.1 Попробую и ИЕ, не нашёл его хранилища. Хотя маловероятно, поскольку несколько лет назад переставлял его в попытках вернуть фоновые изображения гаджетов. Плюс на компе ccleaner.

Провел очистку FRST, фикслог прилагаю. Да, планирую пройти все хосты, даже те которые визуально вроде бы не затронуты - нет явно перименованных файлов Fixlog.txt

Addition.txt FRST.txt

https://www.virustotal.com/gui/file/4d9e115433e25ca5d26ec5940d9fbb4e1743329711141b0a32ac0412b865fbdd?nocache=1 Все нормальные а этот красный ESET-NOD32Вариант Win32/Packed.VMProtect.ACV СофосМЛ/ПЭ-А

Вот новые логи от uVS и FRST2025-08-15_15-22-02_log.rarAddition.txtFRST.txt

судя по отчету сэмпл шифровальщика не найден. возможно, самодалился. С большой вероятностью это Lockvit V3 black, хотя и неизвестная группа. Просто сейчас идет сезон Lockbit, сезон Mimic. ПК единственный был зашифрован? По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ 2025-08-15 00:34 - 2024-02-20 15:47 - 000000000 ____D C:\Users\admin\AppData\Roaming\IObit 2025-08-15 00:34 - 2024-02-20 15:47 - 000000000 ____D C:\Users\admin\AppData\LocalLow\IObit 2025-08-15 00:34 - 2024-02-20 15:47 - 000000000 ____D C:\Users\admin\AppData\Local\IObit 2025-08-15 00:31 - 2024-02-20 17:21 - 000000000 ____D C:\Users\da\AppData\Roaming\IObit 2025-08-15 00:31 - 2024-02-20 17:21 - 000000000 ____D C:\Users\da\AppData\LocalLow\IObit 2025-08-15 00:25 - 2025-08-14 23:26 - 000716176 _____ (Sysinternals - www.sysinternals.com) C:\ProgramData\PsExec.exe Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Я к тому что можно на всякий случай попробовать глянуть этой утилитой.

Скрипт uVS сделал три раза первый раз без подключённого внешнего диска 2025-08-15_14-03-28_log.txt 2025-08-15_14-05-48_log.txt 2025-08-15_14-05-11_log.txt Addition.txt FRST.txt

Нет, во всяком случае автоподставление не работает ни в Опере 95, ни в ИЕ. Комп с Вин 7. Понадобился вай-фай для сиделки. С трудом нашёл пароль в настройках сети ноута, которым так же не пользовались лет 10.

А в браузерах пароль не сохранялся?

По очистке системы: Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. ;uVS v5.0v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv11.0 v400c OFFSGNSAVE hide %SystemDrive%\USERS\NNIKO\DOWNLOADS\НОВАЯ ПАПКА (3)\AUTOLOGGER\RSIT\RSITX64.EXE hide %SystemDrive%\USERS\NNIKO\DOWNLOADS\AG\AYUGRAM.EXE ;------------------------autoscript--------------------------- delall %SystemDrive%\NURSULTAN\VERSIONS\1.16.5\1.16.5.EXE delall %SystemDrive%\USERS\NNIKO\APPDATA\ROAMING\.TLAUNCHER\LEGACY\MINECRAFT\JRE\BIN\JAVAW.EXE delall %SystemDrive%\USERS\NNIKO\APPDATA\ROAMING\.TLAUNCHER\LEGACY\MINECRAFT\JRE\JAVA-RUNTIME-DELTA\WINDOWS-X64\JAVA-RUNTIME-DELTA\BIN\JAVAW.EXE delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\ delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLJGLAJJNNKAPGHBCKKCMODICJHACBFHK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://EDGE.MICROSOFT.COM/EXTENSIONWEBSTOREBASE/V1/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKAGPABJOBOIKCCFDGHPDLAAOPMGPGFDC%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://FIND-IT.PRO/?UTM_SOURCE=DISTR_M apply regt 27 deltmp delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\GOOGLEUPDATER\134.0.6985.0\UPDATER.EXE delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref {8702A841-D5CA-47C3-812D-9CEDC304C200}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID] delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID] delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID] delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID] delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID] delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID] delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID] delref %Sys32%\DRIVERS\ACE-GAME-0.SYS delref %Sys32%\ZAPRET.EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\128.0.6613.120\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.101\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\128.0.6613.120\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\128.0.6613.120\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.93\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\USERS\NNIKO\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.3.781\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ delref %SystemDrive%\USERS\NNIKO\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.3.781\RESOURCES\YANDEX\BOOK_READER\BOOKREADER delref %SystemDrive%\USERS\NNIKO\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.3.781\RESOURCES\OPERA_STORE\OPERA STORE delref %SystemDrive%\USERS\NNIKO\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.3.781\RESOURCES\PDF\CHROMIUM PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\132.0.2957.127\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\132.0.2957.127\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\132.0.2957.127\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\132.0.2957.127\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\132.0.2957.127\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\132.0.2957.127\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\132.0.2957.127\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\132.0.2957.127\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\132.0.2957.127\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION delref %SystemDrive%\RAGEMP\UPDATER.EXE delref %SystemDrive%\RAGEMP\UNINSTALL.EXE delref %SystemDrive%\RAGEMP\RAGE MULTIPLAYER.URL ;------------------------------------------------------------- restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + добавьте новые логи FRST для контроля

Роутером не пользовались лет 10, пароль доступа неизвестен. Если сбросить настройки то исчезает подключение к кабелю. Я не помню как настраивал родителям 10 лет назад или больше. Восстановил настройки из бэкапа. Там наверно есть пароль доступа к роутеру. Совет Копилота: Может есть способ проще?

Понял, спасибо , вот отчет report_2025.08.15_09.03.04.klr.rar

Дешифраторы не запускайте все подряд, без определения типа. В данном случае не помогут. Если систему сканировали с помощью KVRT добавьте отчеты по сканированию из папки C:\KVRT2020_Data\reports, в архиве, без пароля. 2025-08-15 09:02 - 2025-08-15 09:02 - 000000000 ____D C:\KVRT2020_Data 2025-08-15 09:01 - 2025-08-15 09:02 - 115500456 _____ (AO Kaspersky Lab) C:\Users\da\Downloads\KVRT.exe

Update. Только что обновилась винда и о чудо касперский сам запустился 🤨

Все, сделалSPIIZY_2025-08-15_14-01-18.rar

У меня этот txt файл 14 mb не пропускает его сюда

Да, запуск шифровальщика на хостах раскатили через задачи: Task: {2381EB41-9FF6-45F9-A900-33C952796BBF} - System32\Tasks\Windows Update ALPHV => C:\Users\admin\Pictures\Новая -> папка\HEX\C77L.exe -------------- Все ПК планируете проверят? Скрипт очистки дописываю. Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ Task: {3305C3C7-BAF9-4439-8916-3A65AD560734} - \OneDrive Reporting Task-S-1-5-21-30966031-1941866102-3878196175-1001 -> Нет файла <==== ВНИМАНИЕ C:\Windows\System32\msiexec.exe [69632 2019-12-07] (Microsoft Windows -> Microsoft Corporation) -> /i Task: {65666D38-F9C6-46D5-A722-392F3CFE387E} - System32\Tasks\hgxDmXlKzgyRPOoiX2 => C:\Windows\system32\rundll32.exe [71680 2021-11-22] (Microsoft Windows Task: {6C51DDB1-B4D9-4C89-A08D-364C6F3A39DC} - System32\Tasks\jukUvcDRtCRhsVAZhPM2 => C:\Windows\system32\rundll32.exe [71680 2021-11-22] (Microsoft Task: {24DCBF0B-986D-4FFB-B19B-8663C3B239C8} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-30966031-1941866102-3878196175-500 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Нет файла) <==== ВНИМАНИЕ Task: {5120F423-5B5C-4E0F-88C5-0149C085141D} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-30966031-1941866102-3878196175-500 => Task: {EAEA91C8-4648-4E2D-BB7D-ADB0B3E66BD7} - System32\Tasks\stomach-lunch => C:\ProgramData\sweeper-robot\bin.exe /H (Нет файла) Task: {1DBF021A-AB07-4C60-BB87-260AA829BFD3} - System32\Tasks\UclrfmWinSxlXM => C:\Windows\system32\rundll32.exe [71680 2021-11-22] (Microsoft Windows -> Task: {EBFF0B71-03BC-4A0F-B5F1-AB88719C61BD} - System32\Tasks\waMvyXsXGjTUOKT2 => C:\Windows\system32\rundll32.exe [71680 2021-11-22] (Microsoft Windows Task: {2381EB41-9FF6-45F9-A900-33C952796BBF} - System32\Tasks\Windows Update ALPHV => C:\Users\admin\Pictures\Новая -> папка\HEX\C77L.exe C:\Users\admin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe CHR DefaultSearchURL: Profile 2 -> hxxp://search-cdn.net/fip/?q={searchTerms} CHR DefaultSearchKeyword: Profile 2 -> cdn CHR DefaultSearchURL: System Profile -> hxxps://xfinder.pro/q?q={searchTerms} CHR DefaultSearchKeyword: System Profile -> xfinder.pro CHR DefaultSuggestURL: System Profile -> hxxps://xfinder.pro/q/suggest.php?q={searchTerms} C:\Users\admin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\oikgcnjambfooaigmdljblbaeelmekem CHR HKU\S-1-5-21-30966031-1941866102-3878196175-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bcjfhbahclaolcbkdkckdnnenfeakhbk] CHR HKU\S-1-5-21-30966031-1941866102-3878196175-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] CHR HKU\S-1-5-21-30966031-1941866102-3878196175-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha] CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb] CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms} YAN DefaultSearchKeyword: Default -> find-it.pro YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms} C:\Users\admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne 2025-08-15 06:46 - 2025-08-15 06:48 - 000003264 _____ C:\Windows\system32\Tasks\Windows Update ALPHV Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение