Активность

В, общем проблема решено - Я вернулся из 2014 года . Буду рад к лучшему!

Вы как-то избирательно отвечаете. Пишите в поддержку, что вам "нужно заменить код активации на новый для активации актуального продукта, фотографии кода прилагаю. " Отсюда: https://support.kaspersky.ru/common/compatibility/15479 скачиваете нужную для вас версию для Windows XP и устанавливаете, временно активируете пробный период если дает, если нет, то ждете новый код активации от поддержки и все.

Флаг вам в руки. Особенно если найдете антивирус, который будет работать под XP

Проверил архив. Возможно не он виновник, но могу ошибаться. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Прикрепите этот файл в своем следующем сообщении.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: 2025-09-24 22:04 - 2025-04-01 17:46 - 000000000 ____D C:\ProgramData\ctfnnewzeiqi S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2025-02-20] (Microsoft Windows -> Microsoft Corporation) S3 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526272 2025-02-20] (Microsoft Windows -> Microsoft Corporation) S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [583168 2025-03-27] (Microsoft Windows -> Microsoft Corporation) S3 WaaSMedicSvc_bkp; C:\Windows\system32\WaasMedicSvc.dll [427520 2025-03-27] (Microsoft Windows -> Microsoft Corporation) S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3433472 2025-03-13] (Microsoft Windows -> Microsoft Corporation) HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ FirewallRules: [TCP Query User{2C6B176E-A8C2-4C04-BCFB-A7F8F4DFE2CF}C:\users\user\appdata\roaming\.tlauncher\starter\jre_default\jre-17.0.10-windows-x64\bin\java.exe] => (Block) C:\users\user\appdata\roaming\.tlauncher\starter\jre_default\jre-17.0.10-windows-x64\bin\java.exe => Нет файла FirewallRules: [UDP Query User{EEAADB8A-F348-4199-AE92-E3BA3777527D}C:\users\user\appdata\roaming\.tlauncher\starter\jre_default\jre-17.0.10-windows-x64\bin\java.exe] => (Block) C:\users\user\appdata\roaming\.tlauncher\starter\jre_default\jre-17.0.10-windows-x64\bin\java.exe => Нет файла FirewallRules: [TCP Query User{BC70BFE7-BAFE-4000-93D4-FEF9F4881E28}C:\users\user\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe] => (Block) C:\users\user\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe => Нет файла FirewallRules: [UDP Query User{AFB4819A-BCCE-4EF5-9A60-E43CF13CD937}C:\users\user\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe] => (Block) C:\users\user\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe => Нет файла FirewallRules: [TCP Query User{22A5015C-238E-42C5-A0B8-C731AD8D65DE}D:\games\call of duty - world at war\codwaw.exe] => (Block) D:\games\call of duty - world at war\codwaw.exe => Нет файла FirewallRules: [UDP Query User{545BE924-78A4-48A4-95D5-1027DBA6E17F}D:\games\call of duty - world at war\codwaw.exe] => (Block) D:\games\call of duty - world at war\codwaw.exe => Нет файла FirewallRules: [{EC84B73E-C812-4081-98F8-341ACE175840}] => (Allow) C:\Program Files\EaseUS\EaseUS Data Recovery Wizard\DRWUI.exe => Нет файла Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, TermService, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

к сожалению, производитель не должен поддерживать все хотелки пользователей, есть определенные обязательства не только у производителя, но и у пользователя.

Мне надо работать в среде WiXP. Я же , сразу сказал ни о чём.. Бизнес по Русски . И ещё кто - то хает буржуев . Тему можно закрыаать . Пламенный привет Господину Касперскому . 🥺 Конечно... А лучше Антивирус !!!!

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Да, все хорошо, с майнером мы справились. Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Правильно понимаю, что все в порядке и в логах все корректно? Если так, то большое спасибо! За помощь и оперативность!

По возможности, обновите данное ПО: Git v.2.40.0 Внимание! Скачать обновления Notepad++ (64-bit x64) v.8.4.8 Внимание! Скачать обновления NVIDIA GeForce Experience 3.19.0.94 v.3.19.0.94 Внимание! Скачать обновления Данная программа больше не поддерживается разработчиком. Рекомендуется использовать Приложение NVIDIA. GitHub Desktop v.3.2.0 Внимание! Скачать обновления Microsoft Office 2010 shareware v.shareware Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Microsoft Office профессиональный плюс 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Microsoft Office Professional Plus 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления WinRAR 7.01 (32-bit) v.7.01.0 Внимание! Скачать обновления -------------------------- [ IMAndCollaborate ] --------------------------- Zoom v.5.4.9 (59931.0110) Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.44994 Внимание! Клиент сети P2P с рекламным модулем! -------------------------------- [ Media ] -------------------------------- Light Alloy 4.8.8 (build 2038) v.4.8.8 (build 2038) Данная программа больше не поддерживается разработчиком. ------------------------------- [ Browser ] ------------------------------- Opera Stable 120.0.5543.161 v.120.0.5543.161 Внимание! Скачать обновления ^Проверьте обновления через меню Обновление и восстановление!^ Google Chrome v.140.0.7339.186 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О браузере Google Chrome!^ Mozilla Firefox (x86 ru) v.143.0 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^

Спасибо. С comss удалось скачать. Прикладываю файл. SecurityCheck.txt

Вот альтернативная ссылка: https://www.comss.ru/page.php?id=1813

Попробуйте еще раз скачать, https://www.safezone.cc/resources/security-check-by-glax24.25/download https://tools.safezone.cc/glax24/SecurityCheck/SecurityCheckH.zip

Ссылка не открывается. Пробовал на разных браузерах, с впн и без. У вас нет дублирующей ссылки?

Еще один момент упустил. Надо будет отключить отслеживание процессов и задач. т.е. опять так же запустить uVS, только вместо твика 39, выполните твик 40. После этого uVS можно звкрыть, и дополнительное логирование событий прекратится. ------------------------ Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

он уже после первой попытки выполнения скрипта был удален. т.е. со второй попытки мы его уже не нашли. -------------------------------------------------------------------------------------------------- zoo %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\DISM\APPCORE\SYSAPP64.EXE -------------------------------------------------------------------------------------------------- Копирование файла в Zoo: \\?\C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\DISM\APPCORE\SYSAPP64.EXE C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\DISM\APPCORE\SYSAPP64.EXE [Error: 0x2 - Не удается найти указанный файл. ] \\?\C:\USERS\ADMINISTRATOR\DESKTOP\UVS\ZOO\SYSAPP64.EXE.--- Не удалось скопировать файл [Error: 0x0 - Операция успешно завершена. ] -------------------------------------------------------------------------------------------------- Проверка списка... -------------------------------------------------------------------------------------------------- Проверено файлов: 3068 Найдено вирусов: 0 Логи FRST сейчас проверю. В логах FRST нет его. Если других вопросов или проблем в работе системы нет: Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению.

Трудно сказать откуда. Большая часть майнеров здесь ставится или с левыми установочными пакетами, или средствами обхода блокировок. ----------- По возможности, обновите данное ПО: Process Hacker 2.39 (r124) v.2.39.0.124 Warning! This software is no longer supported. Please uninstall it, download and install System Informer. NVIDIA App 11.0.4.526 v.11.0.4.526 Warning! Download Update Среда выполнения Microsoft Edge WebView2 Runtime v.140.0.3485.81 Notepad++ (32-bit x86) v.8.8.3 Warning! Download Update 7-Zip 21.07 (x64) v.21.07 Warning! Download Update Uninstall old version and install new one. Total Commander 64-bit (Remove or Repair) v.8.51a Warning! Download Update WinRAR 4.20 (64-разрядная) v.4.20.0 Warning! Download Update foobar2000 v2.24.6 (x64) v.2.24.6 Warning! Download Update Spotify v.1.2.10.760.g52970952 Warning! Download Update K-Lite Mega Codec Pack 10.3.5 v.10.3.5 Warning! Download Update ------------------------------- [ Browser ] ------------------------------- Google Chrome v.140.0.7339.186 Warning! Download Update

Теперь один лог появился. А вот CZOO так и не сформировался. (Может быть связано, что запускаю start.exe вместо start64.exe. Винда 64-битная). Логи FRST также прилагаю. 2025-09-25_15-00-02_log.txt FRST.txt Addition.txt

Process Hacker скачал/смотрел, но дальше понимания, что второй процесс не из сторонней папки - не ушел. В стандартной автозагрузке диспетчера задач ничего не увидел подозрительного. В Autoruns оно было бы? А есть понимание, откуда и когда я мог это подцепить? И почему стандартный чекап (ни полный, ни оффлайн) не находит эту штуку \DISM64\APPCORE\APPS64.EXE? Судя по другим темам, оно по этому пути не только у меня. SecurityCheck лог прикладываю. SecurityCheck.txt

С расшифровкой файлов не сможем помочь по данному типу шифровальщика. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Заморозка внедренных потоков в системные процессы, выгрузка всех модифицированных процессов (в вашем случае, как раз один из процессов dwm был мождифицированным), чтобы не влияли на очистку системы + удаления виновника создания модифицированного процесса, %SystemDrive%\USERS\FEDOR\APPDATA\ROAMING\MICROSOFT\DISM64\APPCORE\APPS64.EXE который запускался при загрузке системы через этот ключ: HKEY_USERS\S-1-5-21-3508228404-3671738435-1962663307-1002\Environment\UserInitMprLogonScript ----------- Чтобы самостоятельно решать такие прблемы надо иметь некоторые навыки работы с программами, которые мы используем: avz, uVS, FRST. Или анализировать список процессов через Process Hacker, Process Explorer, список автозапуска через Autoruns Да, файл удален из автозапуска. Завершено процессов: 0 из 0 Изменено/удалено объектов автозапуска 1 из 1 Удалено файлов: 1 из 1 Логи FRST сейчас проверю. да, в логах FRST его уже нет. Если других проблем и вопросов не осталось: Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению.

Ссылка на ZOO_2025-09-25_14-35-50.7z: https://disk.yandex.ru/d/jvWwj7Jvp9A7vA Логи во вложениях. Вроде второго dwm больше нет в процессах. Глупый вопрос: что было сделано скриптом? И возможно ли самостоятельное удаление таких майнеров? 2025-09-25_14-36-44_log.txt FRST out2.rar

Не совсем понял какой скрипт и куда копируем. После нажатия исправить FRST система перезагрузилась. Банер при входе не появился. Файл fixlog во вложение. Но я так понимаю дешифратора нет? Fixlog.txt