Активность

Пример хороший, получается какие-то проблемы при использовании ПО для обхода ограничений и возможно проблема не совсеми сайтами наблюдается. Что используете для обхода? Браузерное расширение? Да, можете решать с ними, если они конечно хотят что-то решить, а не просто запрашивать вас отчеты.

Проблема решена?

@Sandor, описание проблемы пользователь засунул в теги

Спасибо, действительно.

Fixlog.txt FRST.txt Search.txt

Здравствуйте! Опишите, пожалуйста, словами в чём именно выражается проблема.

Тогда держите https://dropmefiles.com/KFHkE

Предлагаю действовать так: - найти (хотя бы временно) заведомо исправную внешнюю USB клавиатуру - отключить встроенную клавиатуру ноутбука. Иногда для этого нужно ноутбук разбирать, если сами не сможете, лучше это сделать в сервисе. - если с внешней клавиатурой все проблемы уйдут, желательно переустановить систему и никогда не пользоваться всевозможными оптимизаторами. Посоветоваться со специалистами можете в соседнем разделе. В новых логах никакого упоминания о вирусах по-прежнему нет.

Как видите, файлы на этом сервере были зашифрованы даже не заходя на сам сервер, а потому что диски были в общем доступе с другого устройства, через которое сервер был атакован.

Это как вы желаете. Но я бы не сказал, что отчёт содержит персональные данные. Мало какое имя пользователя. Да даже если и фамилия. Даже емаил не может идентифицировать человека.

По 8 пункту: Open VPN если правильно настроить довольно безопасен ведь? И что насчёт Hamachi? Мы его использовали раньше, но сейчас нормальных аналогов не можем найти. Сервер со старой Windows Server 2008 наверное переустановим, что посоветуете? Файловый сервер на основе Линукса получше будет?

Coreport.txreport.txtreport.txttllectionLog-2025.08.08-09.22.zip

Общие рекомендации: теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

С Днём Рождения!

когда я сбросил пароль и зашел в учетку Администратора (он там долго очень входил, потом экран мигает все черное, часть панели задач видна, стрелка мышки тоже еле видна, всё мигает, ни на что не реагирует). Пытался через Безопасный режим, не заходит, через установщик зашел и там показывает что учетной записи rv больше нет, только глючный Администратор. Эх поэтому в данный момент этот скрипт не могу выполнить. По идее данные этого компьютера не так важны, он со старого перекинут и недавно установлен был. Плохо что следы больше не останутся

К сожалению при переходе вот так

бэкдор. https://www.virustotal.com/gui/file/9f623b7100562e72bd0434ecb1090ce3799e893c50fb7e3b04ba866c9c77d85b/detection По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: (services.exe ->) (xDedic INC.) [Файл не подписан] C:\Windows\xDLS.exe HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ IFEO\mpcmdrun.exe: [Debugger] C:\Windows\System32\systray.exe GroupPolicy: Ограничение ? <==== ВНИМАНИЕ R2 xDLService; C:\Windows\xDLS.exe [1115136 2025-08-06] (xDedic INC.) [Файл не подписан] 2025-08-07 23:17 - 2025-08-07 23:20 - 000000000 _____ C:\Recovery.txt 2025-08-07 17:33 - 2025-08-07 17:33 - 000000000 ____D C:\Users\rv\Desktop\Новая папка 2025-08-06 18:36 - 2025-08-07 00:42 - 021050672 _____ C:\Users\rv\Desktop\Advanced_IP_Scanner_2.5.4594.1.exe_ [UID=YMG-MBMFV 2025-08-06 18:12 - 2025-08-06 18:12 - 001115136 _____ (xDedic INC.) C:\Windows\xDLS.exe C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\e1e61bd68be91d6b1f6a222e4c3c896b.Vexe Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Неотправленный карантин ведь сохранился? Загрузите его на https://dropmefiles.com и пришлите ссылку. Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе. Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;Прикрепите этот файл в своем следующем сообщении.

Только полный выход, приостановка не помогает. К примеру Rutracker с включенным Касперским соединяется и "думает" 5-6 секунд, а только после этого открывается. Повторное открытие сайта и перемещение по нему происходит мгновенно, но стоит перезапустить браузер, как снова долгое соединение с сайтом. С выключенным Касперским или другим антивирусом загрузка сайта проходит за 1-2 секунды и не зависит от открытия и закрытия браузера. Может лучше в техподдержку, чем в открытый доступ на форуме?

Думаю да, касперский запускается без переименования. Так а что это был за вирус? все было плохо? Спасибо что помогли:)

Проблема решена?

прекрасно работает

Да неприятная ситуация:) Fixlog.txtВот фикс лог

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. Ksenofon --nazar (54)lastochka66402 (40)5832 (48)sacuraflower (45)XyJIuraH (39)Gloomer --AndyMan007 (47)огнев александр (40)

я бы с удовольствием отправился спать, но двое нетерпеливых (Вы и пользователь из соседней темы) все никак не хотят меня отпустить. Забыл ссылочку дать https://forum.kasperskyclub.ru/index.php?showtopic=7607 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: C:\ProgramData\AccountPicturesetu C:\ProgramData\7e1699b5-baab-4d70-aeac-605090d4d8d7 C:\Users\lizachan\AppData\Roaming\Sysfiles Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.