Активность

ClearLNK-2025.09.30_13.10.09.logCollectionLog-2025.09.30-13.14.zip Выполнил все процедуры, скинул сообщение на почту с архивом quarantine.7z

Спасибо за помощь. К сожалению не помогло. И в Share Permissions выставлял вплоть до Everyone:Full Control и в Security для Domain Users полный доступ. По сети доступ есть, файлы/папки удаляются и создаются. Но через консоль администрирования по прежнему ошибка "Доступ запрещен".

Только не ресурсы, а возможный конфликт с утилитами лечения. Да, Диспетчер тоже закройте.

Спасибо за быстрый ответ. Диспетчер задач тоже закрыть? Я так понимаю антивирус и т.д. нужно отключать чтобы сэкономить ресурсы системы а тут если диспетчер закрыть то процессор будет под сотку загружен.

Не важно что я обсуждаю или собираюсь обсудить, нынешние реалии показывают, что при желании наказать можно и за то, что несколько лет не считалось наказуемым, но вышел новый закон, указ, приказ и все ты уже виновен. Поэтому не стоит надеятся что обсуждая сегодня список продуктов завтра за это не последует наказание. Поэтому я за то чтоб не было возможности доступа третьей стороной, моя переписка только моя.

Мы не собираем персональные данные. Читайте законы РФ о том, что является персональными данными. А где в том сообщении понятно что вы запрашиваете активацию учетной записи? Там просто скриншот без всяких комментариев. Тем не менее - активировал.

все уже было задано в чатике телеги 😅 Хорошо когда автор викторины и тут и там))

Выше в соответствие с требованиями оставил в теме сообщение , а итог все также: Если нужна вам такая бюрократия, пусть будет, но наверно нужно также на сайт добавить подобное положение тогда, что собираете те или иные данные, получается персонализируете их пока без согласия участников.

В этом ничего страшного нет. На моём компьютере тоже иногда такое происходит. Почему не удалили? Удалите, перезагрузите компьютер и соберите новые логи Farbar.

Сперва закидывается на Сервер Администрирование, а уже оттуда получают обновы сами агенты. .(И Агент и KES в данный момент включены) (а статус постоянной защиты (выполняется)

ClearLNK-2025.09.30_15.26.53.log FRST.txt Addition.txt

да они мелькают и быстро закрываются

Здравствуйте! 1. Эти окна быстро мелькают и закрываются? 2. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО: 3. Файл Check_Browser_Lnk.log из папки перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. 4. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

И нет вопроса в ЛС от него! Это показатель

Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\User\AppData\Local\driverpatch9t1ohxw8\di.exe', ''); DeleteFile('C:\Users\User\AppData\Local\driverpatch9t1ohxw8\di.exe', '64'); DeleteService('DrvSvc'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false); end. Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Файл Check_Browser_Lnk.log из папки перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

как удалить backgroundtaskhost сам включается и приостанавливается

Здравствуйте, процесс dwm.exe загружает процессор на максимум при входе в систему, при запуске диспетчера задач нагрузка пропадает, видимо майнер. Пробовал KVRT но он не помог. Прикладываю логи и надеюсь на вашу помощь, спасибо.CollectionLog-2025.09.30-10.20.zip

Добрый день! Нужна помощь в борьбе с шифровальщиком Zimmer. Много важных файлов на компьютере и теперь все зашифровано( Файлы и логи приложены. Addition.txt FRST.txt INFO_TO_DECRYPT_ZIMMER1488.txt Отписка от экспертцентр.txt 322595800092833_20240707_197905.PDF

Участников немного потому что есть устойчивое мнение что квест это очень сложно. Ну это смотря с чем сравнивать. Да и награда там как правило существенно выше и соразмерна сложности. Этот квест изначально задумывался как НЕсложный. У нас есть замечательный индикатор сложности квеста - если его проходит @ska79, значит он достаточно простой

Я бы понял, если это писал гуманитарий, который плохо знаком с темой. От вас это очень странно читать. По крайней мере мы не будем обсуждать эти вопросы публично. Вобщем есть активность с определенными правилами. Ваше право в ней участвовать или не участвовать.

Хорошо. проверю сейчас логи, напишу скрипт очистки. По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours) IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe CHR Extension: (Нет имени) - C:\Users\root\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2020-03-21] [UpdateUrl:0] <==== ВНИМАНИЕ S2 RustDesk; "C:\Program Files\RustDesk\RustDesk.exe" --service [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S0 oem-drv64; system32\DRIVERS\oem-drv64.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] 2025-09-11 23:47 - 2025-09-12 15:29 - 000000980 _____ C:\How-to-decrypt.txt 2025-09-11 23:47 - 2025-09-12 15:07 - 000000000 ____D C:\temp 2025-09-11 23:46 - 2025-09-11 23:46 - 000000000 ____D C:\Users\ures681\AppData\Roaming\Process Hacker 2 2025-09-11 23:41 - 2025-09-12 00:00 - 000000000 ____D C:\Program Files\Process Hacker 2 2025-09-11 23:41 - 2025-09-11 23:41 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2 2025-09-11 13:54 - 2025-09-11 13:54 - 000000430 _____ C:\Windows\system32\u1.bat 2025-09-12 15:29 - 2023-12-19 13:58 - 000000000 __SHD C:\Users\ures681\AppData\Local\0457A684-7AA3-7FD1-A450-4BD23E9A0FBD 2025-09-12 15:28 - 2022-10-01 19:00 - 000000000 __SHD C:\Users\root\AppData\Local\0457A684-7AA3-7FD1-A450-4BD23E9A0FBD Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Судя по логам FRST в основном все дочищено. С расшифровкой файлов, к сожалению, не сможем помочь по данному типу шифровальщика. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист); + проверьте ЛС.

Чуть выше уже писал, и так там все это исключено, учитывая сколько информации собирается в рамках прохождения квеста об участнике.

Fixlog.txt

Я правильно поняла, что мне из буфера обмена надо вставить текст в Farbar Recovery Scan Tool, и только потом нажать кнопку исправить?