Активность

Addition.txt FRST.txt

Доброго времени суток, столкнулся с неприятным вирусом, на протяжении долгого времени не мог побороть его, в итоге переустановил Windows, но он к сожалению остался. Помогите пожалуйста решить неприятную проблему. Сканировал Касперским, он ничего не нашёл, но по факту вирус есть (некоторые папки самопроизвольно восстанавливаются, некоторые добавляются) P.s Также в Параметрах некоторые параметры контролирует организация или что-то в этом роде, заскринить не успел, всё пропало, но windows defender блокирует CollectionLog-2025.10.06-20.24.zip

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ Task: {7A0B4148-9532-49DB-ADBB-E544E86C9E10} - System32\Tasks\Updater Task NG => C:\Users\Rus\AppData\Local\Network Graphics\Network Graphics.exe --task (Нет файла) S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1474560 2025-09-11] (Microsoft Windows -> Microsoft Corporation) U3 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [98304 2025-09-11] (Microsoft Windows -> Microsoft Corporation) S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [114688 2025-09-11] (Microsoft Windows -> Microsoft Corporation) S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [94208 2025-09-11] (Microsoft Windows -> Microsoft Corporation) S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [184720 2025-09-11] (Microsoft Windows -> Корпорация Майкрософт) S3 Rockstar Service; "C:\Program Files\Rockstar Games\Launcher\RockstarService.exe" [X] CustomCLSID: HKU\S-1-5-21-2070193928-3093105610-127533298-1001_Classes\CLSID\{89b2b650-c4dd-d68b-46e7-3176f1973c8b}\localserver32 -> "C:\Program Files\Voicemod Desktop\VoicemodDesktop.exe" -ToastActivated => Нет файла CustomCLSID: HKU\S-1-5-21-2070193928-3093105610-127533298-1001_Classes\CLSID\{D5C4136A-93E5-4678-A6F8-0B2D9BB10999}\localserver32 -> C:\WINDOWS\System32\RunDll32.exe "C:\Program Files\Reg Organizer\Notifications.dll",Activate -ToastActivated => Нет файла C:\Users\Rus\Skype\Мир Кораблей.lnk C:\Users\Rus\Skype\Мир Танков.lnk C:\Users\Rus\AppData\Local\Programs\FL Studio\Мир Кораблей.lnk C:\Users\Rus\AppData\Local\Programs\FL Studio\Мир Танков.lnk AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [3570] AlternateDataStreams: C:\Users\Rus\Application Data:b322c6efc9cf8c2607319ba6e8da6462 [394] AlternateDataStreams: C:\Users\Rus\AppData\Roaming:b322c6efc9cf8c2607319ba6e8da6462 [394] StartPowershell: Remove-MpPreference -ExclusionExtension ".exe" Remove-MpPreference -ExclusionPath "C:\ProgramData" Remove-MpPreference -ExclusionPath "C:\WINDOWS\system32\config\systemprofile" Remove-MpPreference -ExclusionProcess "powershell.exe" Remove-MpPreference -ExclusionProcess "cmd.exe" Remove-MpPreference -ExclusionProcess "svchost.exe" Remove-MpPreference -ExclusionProcess "services.exe" EndPowerShell: FirewallRules: [TCP Query User{41D82BC3-E28A-481E-8C64-B08532A5183D}C:\users\rus\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Block) C:\users\rus\appdata\local\yandex\yandexbrowser\application\browser.exe => Нет файла FirewallRules: [UDP Query User{93E12378-9F3D-4D6F-B806-F786480EF8F3}C:\users\rus\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Block) C:\users\rus\appdata\local\yandex\yandexbrowser\application\browser.exe => Нет файла FirewallRules: [TCP Query User{357A9DDF-67C6-4B8A-8A8B-DF0A3BFE951A}C:\geometry dash\geometrydash.exe] => (Block) C:\geometry dash\geometrydash.exe => Нет файла FirewallRules: [UDP Query User{2328A51B-DDE0-4F3D-9C62-6B7D68260968}C:\geometry dash\geometrydash.exe] => (Block) C:\geometry dash\geometrydash.exe => Нет файла FirewallRules: [{F1394E06-7947-4513-BCB2-24A972D46BD9}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Нет файла FirewallRules: [{8076E3D9-863C-4C15-82A8-40B6BBBA1675}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-11-24H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

По возможности исправьте: Приложение NVIDIA 11.0.2.312 v.11.0.2.312 Внимание! Скачать обновления Microsoft Visual Studio Code (User) v.1.94.2 Внимание! Скачать обновления Среда выполнения Microsoft Edge WebView2 Runtime v.140.0.3485.94 Внимание! Скачать обновления ^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^ Microsoft OneDrive v.25.164.0824.0003 Внимание! Скачать обновления 7-Zip 24.09 (x64) v.24.09 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ WinRAR 6.10 (64-разрядная) v.6.10.0 Внимание! Скачать обновления GIMP 2.10.34 v.2.10.34 Внимание! Скачать обновления Discord v.1.0.9166 Внимание! Скачать обновления AmneziaWG v.1.0.0 Внимание! Скачать обновления Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u461-windows-x64.exe - Windows Offline (64-bit))^ Google Chrome v.140.0.7339.208 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О браузере Google Chrome!^ На этом закончим.

По возможности исправьте: Microsoft SQL Server 2012 (64-разрядная версия) Данная программа больше не поддерживается разработчиком. Microsoft SQL Server 2012 Native Client v.11.4.7001.0 Данная программа больше не поддерживается разработчиком. Microsoft SQL Server 2012 Setup (English) v.11.1.3128.0 Данная программа больше не поддерживается разработчиком. Microsoft SQL Server 2012 RsFx Driver v.11.0.2100.60 Данная программа больше не поддерживается разработчиком. NVIDIA App 11.0.4.148 v.11.0.4.148 Внимание! Скачать обновления Microsoft SQL Server 2012 Transact-SQL ScriptDom v.11.0.2100.60 Данная программа больше не поддерживается разработчиком. Oracle VM VirtualBox 6.1.50 v.6.1.50 Внимание! Скачать обновления AIDA64 Extreme v6.25 v.6.25 Внимание! Скачать обновления AnyDesk v.ad 9.0.7 Внимание! Скачать обновления Среда выполнения Microsoft Edge WebView2 Runtime v.140.0.3485.94 Внимание! Скачать обновления ^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^ Google Drive v.114.0.1.0 Внимание! Скачать обновления Microsoft OneDrive v.25.164.0824.0003 Внимание! Скачать обновления Яндекс.Диск v.3.2.45.5100 Внимание! Скачать обновления WinRAR 6.02 (32-bit) v.6.02.0 Внимание! Скачать обновления GIMP 2.10.38 v.2.10.38 Внимание! Скачать обновления Gimp, версия 2.2.17 v.2.2.17 Внимание! Скачать обновления Discord v.1.0.9154 Внимание! Скачать обновления Zoom Workplace v.6.5.9 (11873) Внимание! Скачать обновления K-Lite Codec Pack 17.4.5 Full v.17.4.5 Внимание! Скачать обновления Asian Language And Spelling Dictionaries Support For Adobe Acrobat Reader v.23.008.20421 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC. Adobe Flash Player 11 Plugin v.11.1.102.55 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее. Chromium-Gost v.111.0.5563.64 Внимание! Скачать обновления Google Chrome v.140.0.7339.208 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О браузере Google Chrome!^ На этом закончим.

@Mrakза неправильную настройку роутера можно получить юридические проблемы? https://vk.com/wall-33078154_6236

В попытке избежать детектирования защитными решениями киберпреступники используют разнообразные техники, маскирующие вредоносную активность. Один из приемов, который в последние годы все чаще встречается в атаках на системы под управлением Windows, — DLL Hijacking, то есть подмена динамически подключаемых библиотек (DLL) на вредоносные. Традиционные защитные решения далеко не всегда могут выявить применение этой техники. Поэтому наши коллеги из Центра экспертизы Kaspersky AI Technology Research разработали модель машинного обучения, позволяющую с высокой точностью детектировать DLL Hijacking. В частности, эта модель уже имплементирована в недавно вышедшую свежую версию нашей SIEM-системы Kaspersky Unified Monitoring and Analysis Platform (KUMA). В этом посте рассказываем, в чем сложности детектирования техники DLL Hijacking и как наш продукт справляется с этой задачей. Как работает DLL Hijacking и в чем сложность ее детектирования Внезапный запуск неизвестного файла в среде Windows неизбежно привлекает внимание защитных решений или просто блокируется. По сути, DLL Hijacking — это попытка выдать вредоносный файл за известный и доверенный. Существует несколько вариантов техники DLL Hijacking. Иногда злоумышленники распространяют вредоносную библиотеку вместе с легитимным ПО (DLL sideloading), которое запускает вредоносный файл; иногда подменяют стандартные DLL, к которым обращаются уже установленные на компьютере программы; а иногда пытаются манипулировать системными механизмами, которые определяют, откуда процесс должен запускать библиотеку. В результате подменный DLL-файл запускается легитимным процессом в своем адресном пространстве и со своими правами, так что для защитных решений активность подмененных библиотек выглядит как вполне легитимная. Поэтому наши эксперты решили привлечь технологии искусственного интеллекта для борьбы с данной техникой. View the full article

Допустим, но почему тогда он греется на рабочем столе. Ноут по сути новый. На пасту не грешу. Как появится время, установлю драйверы и подключусь к сети. Сделаю логи.

У меня в этой папке тоже есть подобные файлы.

Собственно. Создал образ на новой флешке. Удалил все данные с помощью killdisk на ноутбуке. Обновил биос. Вытащил оперативную память и таблетку. Подождал. Переустановил виндовс. Во время переустановки уже заметил, что вентиляторы вращаются не так как должны. Собственно, после переустановки зашел в папку с Edge и обнаружил файлы. В файле cryptominer куча сайтов. Чуть позже установлю драйверы и отправлю логи.

У вас есть какие то подозрения по дешифратору? Пришлите дешифратор для проверки.

Добрый день! Ранее подвергся шифрованию, после ключи получили. Прошу проверить логи сканирования после дешифровки файлов. Заранее благодарен! Addition.txt FRST.txt

Всё центр обновления работает! Спасибо! Нужно что то еще делать? SecurityCheck.txt

С расшифровкой файлов, к сожалению, не сможем помочь по данному типу шифровальщика. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

@Strelezzz, не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

Хорошо, тему не закрываем и ждём.

Пока трудно сказать. KVRT говорит, что все в порядке. Может у меня уже паранойя. Можем либо завершить тему, либо дождаться, пока я переустановлю все на ноутбуке. Как появится информация, я отпишусь сюда. Как считаете?

В следующий раз по приложениям Яндекса открывай справку через штатное меню настроек. Там как правило очень подробно. И пиши через Отзывы, тогда общение будет через почту профиля и не надо держать браузер с открытым чатом. У них норматив времени ответа - до 2 часов.

Почему считаете, что это нечто вредоносное? Сделайте дополнительно полную проверку KVRT. Если будут обнаружения, папку C:\KVRT2020_Data\Reports упакуйте в архив и прикрепите к следующему сообщению.

Думаю, что-то осталось. На диск пытается записаться файл dekstop.ini c содержанием " [.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769 IconResource=%SystemRoot%\system32\imageres.dll,-183"

для iOS https://yandex.ru/support/keyboard-ios/ru/dictionary

не знал. Я отправляю запросы через аналогичное меню Яндекс-браузера, там есть "Отправить". Тогда спроси здесь https://yandex.ru/support/keyboard-android/ru/troubleshooting или https://vk.com/yandex , но время ответа может быть пару дней, а не 2 часа.

Добрый день! Прошу проверить логи сканирования после дешифровки файлов. Заранее благодарен! Addition.txt FRST.txt

Скриншот ошибки приложите Укажите версию программы https://support.kaspersky.ru/common/diagnostics/1690

Здравствуйте У меня блокирует сайт Dom.ru выдаёт сразу ошибку 404! Как отключил защиту на Касперском сразу всё за работало. Подскажите пожалуйста, что можно сделать чтоб я мог заходить в личный кабинет сайта.