Активность

Да, запуск шифровальщика на хостах раскатили через задачи: Task: {2381EB41-9FF6-45F9-A900-33C952796BBF} - System32\Tasks\Windows Update ALPHV => C:\Users\admin\Pictures\Новая -> папка\HEX\C77L.exe Скрипт очистки дописываю.

Со второго сервера ESVC_SPBFS02_20250815134238.zip

Привет! У нас тут возник спор - сколько же километров мы прошли по Катуни? Мнения разделились: по одним измерениям получается 485км, по другим 505. Шли мы от устья речки Верхний Кураган (правый приток, на карте начало старта вот здесь - гугломапсы это место лучше показывают) - и топали аж до отеля Алтика (это вот здесь). Как промерить расстояние? Наверное, можно найти в Водном реестре - там вроде бы прописан километраж всех притоков. Посему можно попробовать посмотреть на каком километре в Катунь впадает Верхний Кураган и на каком ближайший к Алтике приток (река Муны?) Поможете разобраться с вопросом?

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Благодарю!

Исправьте по возможности: Учетная запись гостя включена. Пароль не установлен. Брандмауэр Защитника Windows (mpssvc) - Служба работает Отключен доменный профиль Брандмауэра Windows Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows Docker Desktop v.4.38.0 Внимание! Скачать обновления Git v.2.46.2 Внимание! Скачать обновления Notepad++ (64-bit x64) v.8.6.7 Внимание! Скачать обновления Vim 9.1 (x64) v.9.1.0 Внимание! Скачать обновления NVIDIA GeForce Experience 3.27.0.120 v.3.27.0.120 Внимание! Скачать обновления Данная программа больше не поддерживается разработчиком. Рекомендуется использовать Приложение NVIDIA. Oracle VM VirtualBox 5.2.44 v.5.2.44 Внимание! Скачать обновления Microsoft Visual Studio Code (User) v.1.102.0 Внимание! Скачать обновления AnyDesk v.ad 9.5.4 Внимание! Скачать обновления Wireshark 4.2.10 x64 v.4.2.10 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33816 v.14.40.33816.0 Внимание! Скачать обновления 7-Zip 24.08 (x64) v.24.08 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ WinRAR 7.01 (64-разрядная) v.7.01.0 Внимание! Скачать обновления Discord v.1.0.9040 Внимание! Скачать обновления Zoom Workplace v.6.4.12 (64384) Внимание! Скачать обновления Telegram Desktop v.5.16.4 Внимание! Скачать обновления Zona Внимание! Клиент сети P2P с рекламным модулем! BitTorrent Web v.1.4.0 Внимание! Клиент сети P2P с рекламным модулем! µTorrent v.3.6.0.47196 Внимание! Клиент сети P2P с рекламным модулем! Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u461-windows-x64.exe - Windows Offline (64-bit))^ VLC media player v.3.0.17.4 Внимание! Скачать обновления Mozilla Firefox (x64 ru) v.133.0.3 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ Yandex v.25.6.4.219 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ Google Chrome v.139.0.7258.67 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О браузере Google Chrome!^ ---------------------------- [ UnwantedApps ] ----------------------------- Кнопки сервисов Яндекса на панели задач v.3.7.10.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Читайте Рекомендации после удаления вредоносного ПО

SecurityCheck.txt

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Отлично! В завершение, пожалуйста: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратораЕсли увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению.

Спасибо большое!

Расширение удалилось, а видимых проблем не было)

Хорошо. Проверьте и сообщите что сейчас с проблемой.

Fixlog.txt

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\pchfckkccldkbclgdepkaonamkignanh CHR HKU\S-1-5-21-2419835374-3112323553-1082855999-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] S3 HWiNFO_191; \??\C:\Users\User\AppData\Local\Temp\HWiNFO64A_191.SYS [X] <==== ВНИМАНИЕ 2024-09-28 13:55 - 2025-03-28 16:50 - 000000364 _____ () C:\Users\User\uTorrentPro.dat FirewallRules: [{645A8127-1A89-4C0B-A27D-509B0EC21E02}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла FirewallRules: [{E81CA03F-2600-4CFE-B819-C28466D5033F}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла FirewallRules: [{74E537F6-8549-4D75-90EE-29361C62F1FB}] => (Allow) D:\Steam\steamapps\common\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => Нет файла FirewallRules: [{4DB5B34E-5143-4BA0-ABC6-53403B930B81}] => (Allow) D:\Steam\steamapps\common\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => Нет файла FirewallRules: [{657FA452-C9C3-4543-97E0-45FF600018F2}] => (Allow) D:\Steam\steamapps\common\Euro Truck Simulator 2\bin\win_x86\eurotrucks2.exe => Нет файла FirewallRules: [{43003D22-F04D-4E8C-80F3-142A36561C9E}] => (Allow) D:\Steam\steamapps\common\Euro Truck Simulator 2\bin\win_x86\eurotrucks2.exe => Нет файла FirewallRules: [{04C32040-660A-4B6F-93D3-2F352D91C1D0}] => (Allow) D:\Steam\steamapps\common\Fallout 3\Fallout3Launcher.exe => Нет файла FirewallRules: [{297E6B3A-FEA7-4F3F-9D85-607A999564C1}] => (Allow) D:\Steam\steamapps\common\Fallout 3\Fallout3Launcher.exe => Нет файла FirewallRules: [{CF182361-1929-4AAA-83CD-3CD7F44A229C}] => (Allow) D:\Steam\steamapps\common\PAYDAY 2\payday2_win32_release.exe => Нет файла FirewallRules: [{985C8016-DEA5-4928-96ED-B4B96F5382AA}] => (Allow) D:\Steam\steamapps\common\PAYDAY 2\payday2_win32_release.exe => Нет файла FirewallRules: [{B6BEC3CD-F079-4305-AE3C-B39E78EA94DF}] => (Allow) D:\Prog\Zona\Zona.exe => Нет файла FirewallRules: [{9EFBB1E8-E914-49E0-9F72-4095D251C8E5}] => (Allow) D:\Prog\Zona\Zona.exe => Нет файла startbatch: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" endbatch: ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

расширение legal-cache - корпоративное расширение, устанавливал самостоятельно Addition.txt FRST.txt

Добрый день. Помогите, пожалуйста, расшифровать файлы на ПК. Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа. Заранее спасибо. AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt FRST.txt

Понятно. "Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = localhost R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = hxxp://127.0.0.1:10809 (disabled) O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0 O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0 O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1 O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1 O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 0 O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1 O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiSpyware] = 1 O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiVirus] = 1 O22 - Tasks: Disable Update Center - C:\Windows\system32\cmd.exe /C IF /I "x86"=="x86" (C:\Windows\Control_OSServices\UpdateCenter\Wub.exe /D /P) ELSE (C:\Windows\Control_OSServices\UpdateCenter\Wub_x64.exe /D /P) (sign: 'Microsoft') O26 - Debugger: HKLM\..\EOSnotify.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\InstallAgent.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\MusNotification.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\MusNotificationUx.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\remsh.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\SihClient.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\UpdateAssistant.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\upfc.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\UsoClient.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\WaaSMedic.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\WaasMedicAgent.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\Windows10Upgrade.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\Windows10UpgraderApp.exe: [Debugger] = / (file missing) Перезагрузите компьютер. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

Ночью 15.08.2025 судя по всему через RPD смогли подключиться на рабочий комп, закинули софт. Нашел папку с переборщиком паролей, взломом профилей. Просканили всю сеть, подобрали пароль к учетке Админа и запустили шифрование. компов 8 включая файловое хранилище пострадали. Какие были выключены - с теми нормально. Какие утром успел вырубить - вроде тоже живые. Сорвался после звонка, примчался в офис - вырубил всю сеть и инет. Потом по мере анализа с CureIt включал по одному те, которые на вид чистые. Анализ FarBar прикладываю. Нужна помощь прежде всего в лечении, а потом уже в расшифровке Addition.txt FRST.txt

Отчет с утилиты. ESVC_SPBSQLOK_20250815104226.zip

Не припомню, чтобы сам отключал, но не уверен. Сейчас указано, что организация приостановило автообновление. Организации у меня нет, комп домашний. Возможно это дефолтные настройки моей сборки винды.

Здравствуйте! Смотрю логи, подождите некоторое время. Обновление системы отключали самостоятельно?

Расшифруем. Чуть позже. [+] Victim ID: 2fSF4ErH7XaLogim63hTWw8FGNGDrCtPN9ZwDbicp1u124AhHYNj9GM8nwuEKBwxx6YLr8yJM5cusE7roFpufP2UfV --- [+] Your key : Е0░ACсUZ6 --------------

Сегодня, после выхода компьютера из спящего режима было установлено расширение "Визуальные закладки" pchfckkccldkbclgdepkaonamkignanh . Ранее уже были проблемы с автоматической установкой вредоносных расширений. Проверка drWeb: Для программы ThrottleStop я сам делал .bat файл, и добавлял его в автозагрузку. Возможно, поэтому drWeb и ругается CollectionLog-2025.08.15-11.15.zip

Выполните Правила оформления запроса о помощи Все необходимое прикрепите к следующему сообщению в текущей теме.

Загрузите, пожалуйста, этот файл на сайт www.virustotal.com, подождите некоторое время и ссылку на результат анализа скопируйте в ваше следующее сообщение.