Активность

Проблема решена?

Fixlog.txt

у Вас определенно проблемы с чтением. Первый шаг написан перед скриптом, а остальные после него. но ведь логи, по которым написан скрипт, Вы же сумели сделать. попробуйте в безопасном режиме загрузки.

А это источник Ваших бед, скачанный скорее всего с какого-то телеграм-канала. Кроме программы, получили себе парочку майнеров. Выполните скрипт в безопасном режиме загрузки. 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: HKU\S-1-5-21-3029975736-2959421359-784445391-1001\...\Run: [AF_uuid_com.veepn.windows] => 2dce3158-e33b-47ef-ab46-5ef71325d413**************Ѕ>*Л*Ђ\StringFileInfo\ (Нет файла) HKU\S-1-5-21-3029975736-2959421359-784445391-1001\...\Run: [AF_counter_com.veepn.windows] => 1 (Нет файла) HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-3029975736-2959421359-784445391-1001\...\Run: [CustomCursor] => "C:\Users\uzayri1999\AppData\Local\Blife\CustomCursor\CustomCursor.exe" "/tray" (Нет файла) Startup: C:\Users\uzayri1999\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Rainmeter.lnk [2025-01-18] ShortcutTarget: Rainmeter.lnk -> C:\Program Files\Rainmeter\Rainmeter.exe (Нет файла) HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ Task: {C8FB8C1F-9ECA-4E2A-85E3-2D32797503F5} - System32\Tasks\dialersvc64 Task: {52198A96-2226-40B3-B9A2-791233BF62C0} - System32\Tasks\startaman => C:\Program -> Files (x86)/aman/Aman.exe C:\Users\uzayri1999\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hkickbnohndkhiclkleppfeabolaieoa C:\Users\uzayri1999\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\pabdjeknfehohdapkioegmclggeohmnc S2 EEJDBRFD; C:\ProgramData\varlzmdynbpg\gtmyjijmbxpo.exe [2845696 2025-07-25] () [Файл не подписан] <==== ВНИМАНИЕ S3 EAAntiCheat; system32\drivers\eaanticheat.sys [X] C:\ProgramData\varlzmdynbpg 2025-06-26 23:32 - 2025-05-19 11:40 - 000022680 _____ (OpenLibSys.org) C:\Users\uzayri1999\AppData\Local\JYWinRing0.sys CustomCLSID: HKU\S-1-5-21-3029975736-2959421359-784445391-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\uzayri1999\AppData\Local\Microsoft\OneDrive\18.143.0717.0002\amd64\FileSyncShell64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-3029975736-2959421359-784445391-1001_Classes\CLSID\{5C4D8D77-5B87-40CA-884E-F56858227E5C}\localserver32 -> C:\Users\uzayri1999\AppData\Local\Programs\TeamSpeak\notification_helper.exe => Нет файла CustomCLSID: HKU\S-1-5-21-3029975736-2959421359-784445391-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\uzayri1999\AppData\Local\Microsoft\OneDrive\18.143.0717.0002\amd64\FileSyncShell64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-3029975736-2959421359-784445391-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\uzayri1999\AppData\Local\Microsoft\OneDrive\18.143.0717.0002\amd64\FileSyncShell64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-3029975736-2959421359-784445391-1001_Classes\CLSID\{9489FEB2-1925-4D01-B788-6D912C70F7F2}\localserver32 -> C:\Users\uzayri1999\AppData\Local\Microsoft\OneDrive\18.143.0717.0002\FileCoAuth.exe => Нет файла C:\Users\uzayri1999\Desktop\ \NEWsteam\newSTEAM.lnk AlternateDataStreams: C:\WINDOWS\tracing:? [16] AlternateDataStreams: C:\Users\uzayri1999\Application Data:d0353b486a0f166ba47ab293d0b1004e [394] AlternateDataStreams: C:\Users\uzayri1999\AppData\Roaming:d0353b486a0f166ba47ab293d0b1004e [394] HKU\S-1-5-21-3029975736-2959421359-784445391-1001\...\StartupApproved\StartupFolder: => "Rainmeter.lnk" FirewallRules: [TCP Query User{5E22C5E8-CA29-4FC3-9FB5-BC3DD0C83514}E:\call of duty modern warfare 3\iw5sp.exe] => (Allow) E:\call of duty modern warfare 3\iw5sp.exe => Нет файла FirewallRules: [UDP Query User{0E461269-B494-405C-AE9C-44C9E9E86AFA}E:\call of duty modern warfare 3\iw5sp.exe] => (Allow) E:\call of duty modern warfare 3\iw5sp.exe => Нет файла FirewallRules: [TCP Query User{46745204-40CA-4712-A727-2066309E4D72}C:\program files (x86)\planetvpn\bin\xray\xray.exe] => (Allow) C:\program files (x86)\planetvpn\bin\xray\xray.exe => Нет файла FirewallRules: [UDP Query User{8AC1717E-D56B-4063-83FE-47DB7BE51F53}C:\program files (x86)\planetvpn\bin\xray\xray.exe] => (Allow) C:\program files (x86)\planetvpn\bin\xray\xray.exe => Нет файла FirewallRules: [{F4D44204-A99F-4E80-A459-5BE5DAA5AB85}] => (Block) C:\program files (x86)\planetvpn\bin\xray\xray.exe => Нет файла FirewallRules: [{278E095F-D931-45A9-B0E1-15030AD70891}] => (Block) C:\program files (x86)\planetvpn\bin\xray\xray.exe => Нет файла FirewallRules: [{369E0BD6-931D-4341-B7F0-0B35ADD26BD5}] => (Allow) E:\SteamLibrary\steamapps\common\Perspective\Perspective.exe => Нет файла FirewallRules: [{4DDDB7E5-436F-4D66-BA37-71BAAF6AFE18}] => (Allow) E:\SteamLibrary\steamapps\common\Perspective\Perspective.exe => Нет файла FirewallRules: [TCP Query User{618BA765-39ED-4D5D-80CB-BD29FA3B39F3}C:\xboxgames\forza horizon 5\content\forzahorizon5.exe] => (Allow) C:\xboxgames\forza horizon 5\content\forzahorizon5.exe => Нет файла FirewallRules: [UDP Query User{188210AF-C8DF-4754-821F-8106FA828292}C:\xboxgames\forza horizon 5\content\forzahorizon5.exe] => (Allow) C:\xboxgames\forza horizon 5\content\forzahorizon5.exe => Нет файла FirewallRules: [TCP Query User{676BC1F6-1151-47D9-BAFB-7B84ADEBA35E}D:\miside\misidefull.exe] => (Allow) D:\miside\misidefull.exe => Нет файла FirewallRules: [UDP Query User{AEAD198E-B988-4B80-BC54-648A30C4B1C2}D:\miside\misidefull.exe] => (Allow) D:\miside\misidefull.exe => Нет файла FirewallRules: [TCP Query User{CBC20E1B-B579-43C4-B7E6-67DD8651BEFA}C:\users\uzayri1999\appdata\local\programs\com.brotorrent.torrent-client-utorrent\utorrent-v2.exe] => (Block) C:\users\uzayri1999\appdata\local\programs\com.brotorrent.torrent-client-utorrent\utorrent-v2.exe => Нет файла FirewallRules: [UDP Query User{665CC302-3CF3-4AF3-8D7C-7BE72F38C2C7}C:\users\uzayri1999\appdata\local\programs\com.brotorrent.torrent-client-utorrent\utorrent-v2.exe] => (Block) C:\users\uzayri1999\appdata\local\programs\com.brotorrent.torrent-client-utorrent\utorrent-v2.exe => Нет файла FirewallRules: [TCP Query User{0E94EC40-ADCD-4436-B9C5-33F1E719E2D6}C:\users\uzayri1999\appdata\local\programs\com.brotorrent.torrent-client-utorrent\utorrent-v2.exe] => (Block) C:\users\uzayri1999\appdata\local\programs\com.brotorrent.torrent-client-utorrent\utorrent-v2.exe => Нет файла FirewallRules: [UDP Query User{940E7715-1ACD-4AF0-A447-09C99E748709}C:\users\uzayri1999\appdata\local\programs\com.brotorrent.torrent-client-utorrent\utorrent-v2.exe] => (Block) C:\users\uzayri1999\appdata\local\programs\com.brotorrent.torrent-client-utorrent\utorrent-v2.exe => Нет файла FirewallRules: [TCP Query User{3BB46F0D-2794-4F3F-AAB4-3D7D07F615FB}C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.9.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe] => (Allow) C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.9.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe => Нет файла FirewallRules: [UDP Query User{177AA229-685B-4B81-980D-CCBE93AC90DA}C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.9.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe] => (Allow) C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.9.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe => Нет файла FirewallRules: [{2EF07332-64AD-4471-BD66-1A88F6A7A40B}] => (Block) C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.9.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe => Нет файла FirewallRules: [{9807B6A6-4D27-46CD-8BF2-9FEE385FCD05}] => (Block) C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.9.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe => Нет файла FirewallRules: [{C6529FD1-F3DD-4DD8-8F6C-10AC505FAA39}] => (Allow) C:\Program Files\Hiddify\Hiddify.exe => Нет файла FirewallRules: [TCP Query User{B86681F4-5DC2-4CFD-B589-75A9B559AC33}D:\tom clancys ghost recon wildlands\grw.exe] => (Allow) D:\tom clancys ghost recon wildlands\grw.exe => Нет файла FirewallRules: [UDP Query User{98DA3CE1-03EB-4024-86A2-01EB98C9A66F}D:\tom clancys ghost recon wildlands\grw.exe] => (Allow) D:\tom clancys ghost recon wildlands\grw.exe => Нет файла FirewallRules: [TCP Query User{581A4D3D-9519-4718-9CCF-D7501E1CF2AE}D:\tom clancys ghost recon wildlands\grw.exe] => (Allow) D:\tom clancys ghost recon wildlands\grw.exe => Нет файла FirewallRules: [UDP Query User{7F994E4B-26ED-4E00-BEF9-FF263E035AD4}D:\tom clancys ghost recon wildlands\grw.exe] => (Allow) D:\tom clancys ghost recon wildlands\grw.exe => Нет файла FirewallRules: [TCP Query User{3EAA3A64-31B5-4959-9547-66B8DD471BAA}C:\steamlibrary\steamapps\common\blackmythwukong\b1\binaries\win64\b1-win64-shipping.exe] => (Allow) C:\steamlibrary\steamapps\common\blackmythwukong\b1\binaries\win64\b1-win64-shipping.exe => Нет файла FirewallRules: [UDP Query User{D36003EB-5A31-4EB2-BEB2-5E50BCF0A955}C:\steamlibrary\steamapps\common\blackmythwukong\b1\binaries\win64\b1-win64-shipping.exe] => (Allow) C:\steamlibrary\steamapps\common\blackmythwukong\b1\binaries\win64\b1-win64-shipping.exe => Нет файла FirewallRules: [{B06899E6-03F9-47C8-899C-0496B235726D}] => (Block) C:\steamlibrary\steamapps\common\blackmythwukong\b1\binaries\win64\b1-win64-shipping.exe => Нет файла FirewallRules: [{B4AA970F-5392-4EC9-90A1-8C58C67DC722}] => (Block) C:\steamlibrary\steamapps\common\blackmythwukong\b1\binaries\win64\b1-win64-shipping.exe => Нет файла FirewallRules: [{2DFD7B62-193D-4171-8A18-296B7EE0BB4F}] => (Allow) C:\Program Files\Tencent\QQNT\QQ.exe => Нет файла FirewallRules: [{C9098A94-56AB-4178-A5CB-F4ACBC6FB939}] => (Allow) C:\Program Files\Tencent\QQNT\QQEX.exe => Нет файла FirewallRules: [{22e25e73-61c3-4e83-b462-38f23a93ebb1}] => (Allow) C:\Program Files\ldplayerbox\LdVBoxHeadless.exe => Нет файла FirewallRules: [TCP Query User{337B29A4-3A9E-45D4-9163-FE16F8E81616}C:\program files (x86)\steam\steamapps\common\fragpunk\fragpunk\binaries\win64\fragpunk.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\fragpunk\fragpunk\binaries\win64\fragpunk.exe => Нет файла FirewallRules: [UDP Query User{454DD4D6-4648-4FD6-A508-7D378F5D0D8C}C:\program files (x86)\steam\steamapps\common\fragpunk\fragpunk\binaries\win64\fragpunk.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\fragpunk\fragpunk\binaries\win64\fragpunk.exe => Нет файла FirewallRules: [TCP Query User{C34081C5-1FC6-40DF-80E0-4C5A2454C3F5}C:\program files (x86)\steam\steamapps\common\inzoi demo\blueclient\binaries\win64\inzoi-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\inzoi demo\blueclient\binaries\win64\inzoi-win64-shipping.exe => Нет файла FirewallRules: [UDP Query User{BAE5242A-7186-498D-9389-A2A7303A1C9C}C:\program files (x86)\steam\steamapps\common\inzoi demo\blueclient\binaries\win64\inzoi-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\inzoi demo\blueclient\binaries\win64\inzoi-win64-shipping.exe => Нет файла FirewallRules: [{9FDACCFE-51F8-4D42-98E6-4F51617FFBC0}] => (Allow) E:\Need for Speed Unbound\NeedForSpeedUnboundTrial.exe => Нет файла FirewallRules: [{F9EDEE69-7199-4F0B-8589-80752593DBEC}] => (Allow) E:\Need for Speed Unbound\NeedForSpeedUnboundTrial.exe => Нет файла FirewallRules: [{C8087E65-F193-4603-9C15-5FC4FAC004C9}] => (Allow) E:\Need for Speed Unbound\NeedForSpeedUnbound.exe => Нет файла FirewallRules: [{6C6C5B4E-4AEB-42BF-ACD2-EC6BC1F85C37}] => (Allow) E:\Need for Speed Unbound\NeedForSpeedUnbound.exe => Нет файла FirewallRules: [{106E7F90-6CCC-4D2B-87E5-978581FC5077}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Нет файла FirewallRules: [{F0D9E498-A513-4CC5-8763-53372415693A}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла FirewallRules: [{036CFD4E-2FB4-4DDB-99C4-EBE5BA4E1604}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Нет файла FirewallRules: [{443ABFDA-D70D-44D4-AB96-B04C552C02BC}] => (Allow) C:\Program Files\BlueStacks_nxt\BlueStacksAppplayerWeb.exe => Нет файла FirewallRules: [TCP Query User{EDD5A061-3D3D-41C0-A5F9-37B2905C844A}D:\call of duty vanguard\call of duty vanguard\vanguard.exe] => (Allow) D:\call of duty vanguard\call of duty vanguard\vanguard.exe => Нет файла FirewallRules: [UDP Query User{53B3F61A-EE71-4E82-8B58-0683D333EA5E}D:\call of duty vanguard\call of duty vanguard\vanguard.exe] => (Allow) D:\call of duty vanguard\call of duty vanguard\vanguard.exe => Нет файла FirewallRules: [TCP Query User{FE53906A-CD60-45C3-8447-9D5C9EE189FB}D:\call of duty vanguard\call of duty vanguard\vanguard.exe] => (Allow) D:\call of duty vanguard\call of duty vanguard\vanguard.exe => Нет файла FirewallRules: [UDP Query User{78E13C8B-64E0-4597-B8B7-A4F464EBC22F}D:\call of duty vanguard\call of duty vanguard\vanguard.exe] => (Allow) D:\call of duty vanguard\call of duty vanguard\vanguard.exe => Нет файла StartPowershell: Remove-MpPreference -ExclusionExtension ".exe" Remove-MpPreference -ExclusionPath "C:\ProgramData" Remove-MpPreference -ExclusionPath "C:\Users\UZAYRI~1\AppData\Local\Temp\dControl.exe" Remove-MpPreference -ExclusionPath "C:\Program Files" Remove-MpPreference -ExclusionPath "C:\Program Files (x86)" EndPowerShell: Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. После скрипта удалите через Панель управления – Программы и компоненты или принудительно с помощью Geek Uninstaller

Логи от KRD можете добавить? шифровальщик прилетел с большой вероятностью через почтовое вложение. проверьте, пожалуйста, почту пользователя, который был зашифрован. Если сообщение в почте сохранилось, сохраните/экспортируйте его в файл в формате eml вместе с вложением, добавьте файл в архив с паролем virus, добавьте данный архив в ваше сообщение.

Это вылезло при открытии второго файла файла

FRSTandAddition260725_1312.zip

Спасибо за ответ, система на которой произошло заражение более недоступна, остались только файлы и записка с требованиями от злоумышленников. Вирус был удален с помощью Kaspersky Rescue Disk. Прикладываю несколько файлов повторно по указанным правилам files.rar

нужны логи с них, причем в мосент присутствия там этого майнера-червяка, другого варианта нет.

Все верно, это и есть расшаренная папка и она не единственная увы страдает, просто док001 пока только там появился... По поводу искать компьютер-источник...Я находил N ое количество таких и на каждом эти DOC001 и кто является источником не могу понять

Я праильно понимаю, что C:\bts-robocop - это и есть расшаренная папка, в которой обнаруживается вирус? Нужно искать компьютер-источник, который и спамит по сети, и собирать логи на этом компьютере.

По возможности исправьте: Kaspersky v.21.21.7.384 Внимание! Скачать обновления GIGABYTE Control Center 25.04.09.01 v.25.04.09.01 Внимание! Скачать обновления Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20857 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ NVIDIA App 11.0.4.159 v.11.0.4.159 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35112 v.14.44.35112.1 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35112 v.14.44.35112.1 Внимание! Скачать обновления Discord v.1.0.9199 Внимание! Скачать обновления Mozilla Firefox (x64 ru) v.140.0.4 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ Microsoft Edge v.92.0.902.67 Внимание! Скачать обновления ^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^ На этом закончим.

Здравствуйте. Выполните в полном объеме Правила оформления запроса о помощи Новую тему создавать не нужно, прикрепите логи к следующему сообщению в текущей теме.

Добрый день, помогите пожалуйста с определением типа шифровальщика и возможности расшифровать данные файлы. Прилагаю несколько файлов в архиве и записку с требованиями bNch5yfLR.README.txt шифровальщик.rar

Прикрепляю файл проверки SecurityCheck.txt

CollectionLog-2025.07.26-12.21.zip

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе. Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Прикрепите этот файл в своем следующем сообщении.

Порядок оформления запроса о помощи

Доброго времени суток. Несколько дней назад после установки игры Симс начала вылезать плашка об обнаружении "PDM:Trojan.Win32.Generic" в определённой папке. Был просканирован компьютер. Нежелательные файлы удалены. В том числе и тот, в котором видел троян. Его касперский сам сразу удалял. Но проблема в том, что после лечения трояна и перезапуска пк плашка снова появляется. Троян сам восстанавливается или программа почему - то до сих пор удалённый файл видит и ругается? Никак не могу понять. Прошу помочь с данной ситуацией

Обновления Windows поставились. Но профиль все равно как-то дольше чем раньше прогружается, и программы запускаются дольше.. Была мысль, что это связано с найденным вирусом и его последствиями, больше идей не возникло, по нагрузке цп и памяти вроде все норм. Благодарю за помощь!

Службы с _bkp удалены были, да, спасибо! Отправила пк на завершение работы, пока надпись Подготовка Windows, не включайте компьютер. Жду вот. Посмотрю ещё раз всё как включится

Порядок оформления запроса о помощи

Доброе время суток, пользуюсь продуктом Kaspersky Endpoint Security 12.3 в корпорации, лицензия все дела.... Имеется большая локальная сеть, в которой часть рабочий мест без антивируса. Сама локальная сеть без доступа к интернету. Само собой в локальной сети имеются расшаренные папки для работы с пользователями. Затисался в сетке каким-то образом.. откуда-то... как я уже понял майнинг-вирус DOC001.exe, который при удалении всегда появляется снова... На рабочих местах где стоит Каспер, он попадает, но потом его сразу же убивает Каспер... На других подобных местах и местах без Антивируса такая же беда. Пробовал удалять его СПО Malwarebytes и KVRT, как итог не вышло... Все равно появляется. Люди добрые, как его побороть?)

Проблема решена?

Спасибо за оперативный ответ! Сделала всё, направляю логи Fixlog.txt