Активность

Хорошо, основное тело бэкдора сохранилось на момент очистки системы, думаю, что KRD все почистил как надо. Object="@Filesystem[6d3ac3b5-871f-7aa2-8a0d-31373afefefd]/ProgramData/Synaptics/Synaptics.exe" Info="Delete" /> В большинстве, остальное что было обнаружено, найдено в карантине FRST, т.е было безопасно для системы. ---------------- судя по контрольному запуску KVRT система очистилась от этой "ереси". <Block0 Type="Scan" Processed="2284" Found="0" Neutralized="0"> Жду ESVC чтобы получить дополнительную инфо о причинах проникновения шифровальщика.

Кое-какие недочёты в логах по-прежнему видны, но об этом позже. Какие из проблем сейчас ещё остаются?

Пока не планируем.

Сделали проверку KRD и KVRT. Отчеты их работы report_KVRD.zip report_KRD.zip

вот файлы Так же хотел сказать, что все файлы реестра кроме BUTS.reg смогли внестись в реестр FSS.txt FRST.txt Addition.txt

Тогда надо разбираться с DNS, т.к. судя по всему есть проблемы на его стороне. Можно сделать chkdsk, sfc /scannow.

Исправьте по возможности: Брандмауэр Защитника Windows (mpssvc) - Служба работает Отключен доменный профиль Брандмауэра Windows Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20651 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ NVIDIA GeForce Experience 3.28.0.417 v.3.28.0.417 Данная программа больше не поддерживается разработчиком. Рекомендуется использовать Приложение NVIDIA. AnyDesk v.ad 9.0.7 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления WinRAR 7.10 (64-bit) v.7.10.0 Внимание! Скачать обновления Discord v.1.0.9169 Внимание! Скачать обновления Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u461-windows-x64.exe - Windows Offline (64-bit))^ Adobe Acrobat v.23.001.20174 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ ---------------------------- [ UnwantedApps ] ----------------------------- Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Читайте Рекомендации после удаления вредоносного ПО

SecurityCheck.txt

Отлично! В завершение, пожалуйста: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратораЕсли увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению.

Все работает.

Скрипт отработал успешно. Что сейчас с проблемой?

Fixlog.txt

По файлам: сообщение *.EML уже детектируется, так как сдержит архив с вредоносом без пароля. https://www.virustotal.com/gui/file/40f536d23d08b19de561608fc5fdbe05c3dd3ca8bf36e56494b7dacc3ef0cd9f?nocache=1 архивное вложение из *.EML, содержащее вредоносный файл с маскировкой под документ PDF (на самом деле имеет последнее расширение *com) детектируется: https://www.virustotal.com/gui/file/ebdef6c402cbd2a7424a5a6dd30c08f67719c656bc28a1c8aa0edaf7823c5547 сам файл akt_sverki_1C_9856665_PDF.com из архивного вложения детектируется: https://www.virustotal.com/gui/file/3f8ede55b8fbc733b47e0a61c1def8fbd59aafdf86572ce57300b819d4ef8f79/details С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec CHR HKU\S-1-5-21-368317951-4249025801-3888089633-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec] AV: Kaspersky Anti-Virus (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23} FW: Kaspersky Security Cloud (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58} AlternateDataStreams: C:\ProgramData\MTA San Andreas All:6c732b6f [1134] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40] AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [154] StartPowerShell: Remove-MpPreference -ExclusionExtension ".exe" Remove-MpPreference -ExclusionPath "C:\ProgramData" Remove-MpPreference -ExclusionPath "C:\Users\Public" EndPowerShell: ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

По-моему это просто смешно. А что, кто-то питал иллюзии что мессенджер, позиционируемый как государственный, будет суперприватным

Addition.txt FRST.txt

Да, спасибо! "Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): O22 - Tasks: 2a51cd3f-d4d1-4e23-9207-bc0748f4d2fe - C:\ProgramData\TEMPsvp\jhi_serviceuz.exe (not signed - no company - DA39A3EE5E6B4B0D3255BFEF95601890AFD80709) O22 - Tasks: d55d6dbd-2196-4c80-8e57-314c60fb3090 - C:\Users\Public\Libraries\ca017ed4-04ac-44fa-8070-6890c0e1b33f\yusTextInputHost.exe (not signed - no company - DA39A3EE5E6B4B0D3255BFEF95601890AFD80709) O22 - Tasks: HWiNFO - C:\Windows\Branding\BenchMarkGSB\HWiNFO64.exe (file missing) O22 - Tasks_Migrated: 2a51cd3f-d4d1-4e23-9207-bc0748f4d2fe - C:\ProgramData\TEMPsvp\jhi_serviceuz.exe (not signed - no company - DA39A3EE5E6B4B0D3255BFEF95601890AFD80709) O22 - Tasks_Migrated: d55d6dbd-2196-4c80-8e57-314c60fb3090 - C:\Users\Public\Libraries\ca017ed4-04ac-44fa-8070-6890c0e1b33f\yusTextInputHost.exe (not signed - no company - DA39A3EE5E6B4B0D3255BFEF95601890AFD80709) O22 - Tasks_Migrated: HWiNFO - C:\Windows\Branding\BenchMarkGSB\HWiNFO64.exe (file missing) O26 - Debugger (Stack Rumbling): HKLM\..\autoruns.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\autorunsc.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\bcdedit.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\dism.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\GlassWire.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\GlassWireSetup.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\MediaCreationTool22H2.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\mmc.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\mstsc.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\PowerTool.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\PowerTool64.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\ReAgentc.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\recoverydrive.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\regedit.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\rstrui.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\systemreset.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\SystemSettingsAdminFlows.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\tcpview.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\tcpview64.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\vssadmin.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\Wireshark.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\wuapihost.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\wuauclt.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\x32dbg.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\x64dbg.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\xcopy.exe: [MinimumStackCommitInBytes] = 0x41888887 Перезагрузите компьютер. Далее: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

хорошо, а что делать с последними двумя цитатами? п.с. DNS наша сеть раздает автоматически и администратор просит не менять эту настройку.

О17 я не просил фиксить, только нужно было прописать сетевые настройки, которые выдал вам ваш интернет провайдер. Описанные выше проблемы не связаны с вирусами. Активного заражения по логам не видно.

CollectionLog-2025.08.20-13.18.zip оно или нет?

Судя по детекту на VT это Lockbit V3 Black: ESET-NOD32 A Variant Of Win32/Filecoder.BlackMatter.K https://www.virustotal.com/gui/file/1b3e5489e8694c102fd4483462127089d6586aadd5afe7a25de9c8659326cb37/detection Сэмпл защищен паролем. update.exe -pass e32fae18c0e1de24277c14ab0359c1b7 Пароль можно снять. Пароль правильный:

архив загружен, ссылка удалена Fixlog.txt

У одного вентилятора есть разветвитель, к которому можно подключить ещё один вентилятор. Вот такой, но фото не моё:

По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/ HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/ HKU\S-1-5-21-693856920-1604087506-2574800942-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/ HKLM\...\Run: [browser.exe] => C:\Users\Elena\AppData\Local\HowToRestoreFiles.txt [3732 2025-08-19] () [Файл не подписан] Startup: C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ActivityId.vbs [2025-08-18] () [Файл не подписан] Startup: C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IsInherited.vbs [2025-08-18] () [Файл не подписан] Startup: C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Message.vbs [2025-08-18] () [Файл не подписан] GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ S2 wsc_proxy; "C:\Program Files\Avast Software\Avast\wsc_proxy.exe" /runassvc /rpcserver /wsc_name:"Avast Antivirus [X] S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] 2025-08-19 12:58 - 2025-08-19 14:17 - 000000000 ____D C:\temp 2025-08-20 08:51 - 2025-08-20 08:51 - 003605607 _____ C:\Users\Elena\Downloads\Сообщение.rar 2025-08-20 08:50 - 2025-08-20 08:50 - 004666553 _____ C:\Users\Elena\Downloads\Fwd Акт сверки на 18.08.2025.eml 2025-08-19 14:18 - 2022-11-06 17:54 - 000000000 __SHD C:\Users\Elena\AppData\Local\1C8FBF78-CEA9-289F-D10F-BCAD2CFEE8BF 2025-08-18 13:57 C:\Users\Elena\Downloads\akt_sverki_1C_9856665_PDF.com 2025-08-19 14:18 C:\Users\Elena\AppData\Local\1C8FBF78-CEA9-289F-D10F-BCAD2CFEE8BF REboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

R1 и 017 пофиксил, а что дальше делать не понятно.