Активность

Попробуйте еще раз скачать, https://www.safezone.cc/resources/security-check-by-glax24.25/download https://tools.safezone.cc/glax24/SecurityCheck/SecurityCheckH.zip

Ссылка не открывается. Пробовал на разных браузерах, с впн и без. У вас нет дублирующей ссылки?

Еще один момент упустил. Надо будет отключить отслеживание процессов и задач. т.е. опять так же запустить uVS, только вместо твика 39, выполните твик 40. После этого uVS можно звкрыть, и дополнительное логирование событий прекратится. ------------------------ Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

он уже после первой попытки выполнения скрипта был удален. т.е. со второй попытки мы его уже не нашли. -------------------------------------------------------------------------------------------------- zoo %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\DISM\APPCORE\SYSAPP64.EXE -------------------------------------------------------------------------------------------------- Копирование файла в Zoo: \\?\C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\DISM\APPCORE\SYSAPP64.EXE C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\DISM\APPCORE\SYSAPP64.EXE [Error: 0x2 - Не удается найти указанный файл. ] \\?\C:\USERS\ADMINISTRATOR\DESKTOP\UVS\ZOO\SYSAPP64.EXE.--- Не удалось скопировать файл [Error: 0x0 - Операция успешно завершена. ] -------------------------------------------------------------------------------------------------- Проверка списка... -------------------------------------------------------------------------------------------------- Проверено файлов: 3068 Найдено вирусов: 0 Логи FRST сейчас проверю. В логах FRST нет его. Если других вопросов или проблем в работе системы нет: Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению.

Трудно сказать откуда. Большая часть майнеров здесь ставится или с левыми установочными пакетами, или средствами обхода блокировок. ----------- По возможности, обновите данное ПО: Process Hacker 2.39 (r124) v.2.39.0.124 Warning! This software is no longer supported. Please uninstall it, download and install System Informer. NVIDIA App 11.0.4.526 v.11.0.4.526 Warning! Download Update Среда выполнения Microsoft Edge WebView2 Runtime v.140.0.3485.81 Notepad++ (32-bit x86) v.8.8.3 Warning! Download Update 7-Zip 21.07 (x64) v.21.07 Warning! Download Update Uninstall old version and install new one. Total Commander 64-bit (Remove or Repair) v.8.51a Warning! Download Update WinRAR 4.20 (64-разрядная) v.4.20.0 Warning! Download Update foobar2000 v2.24.6 (x64) v.2.24.6 Warning! Download Update Spotify v.1.2.10.760.g52970952 Warning! Download Update K-Lite Mega Codec Pack 10.3.5 v.10.3.5 Warning! Download Update ------------------------------- [ Browser ] ------------------------------- Google Chrome v.140.0.7339.186 Warning! Download Update

Теперь один лог появился. А вот CZOO так и не сформировался. (Может быть связано, что запускаю start.exe вместо start64.exe. Винда 64-битная). Логи FRST также прилагаю. 2025-09-25_15-00-02_log.txt FRST.txt Addition.txt

Process Hacker скачал/смотрел, но дальше понимания, что второй процесс не из сторонней папки - не ушел. В стандартной автозагрузке диспетчера задач ничего не увидел подозрительного. В Autoruns оно было бы? А есть понимание, откуда и когда я мог это подцепить? И почему стандартный чекап (ни полный, ни оффлайн) не находит эту штуку \DISM64\APPCORE\APPS64.EXE? Судя по другим темам, оно по этому пути не только у меня. SecurityCheck лог прикладываю. SecurityCheck.txt

С расшифровкой файлов не сможем помочь по данному типу шифровальщика. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Заморозка внедренных потоков в системные процессы, выгрузка всех модифицированных процессов (в вашем случае, как раз один из процессов dwm был мождифицированным), чтобы не влияли на очистку системы + удаления виновника создания модифицированного процесса, %SystemDrive%\USERS\FEDOR\APPDATA\ROAMING\MICROSOFT\DISM64\APPCORE\APPS64.EXE который запускался при загрузке системы через этот ключ: HKEY_USERS\S-1-5-21-3508228404-3671738435-1962663307-1002\Environment\UserInitMprLogonScript ----------- Чтобы самостоятельно решать такие прблемы надо иметь некоторые навыки работы с программами, которые мы используем: avz, uVS, FRST. Или анализировать список процессов через Process Hacker, Process Explorer, список автозапуска через Autoruns Да, файл удален из автозапуска. Завершено процессов: 0 из 0 Изменено/удалено объектов автозапуска 1 из 1 Удалено файлов: 1 из 1 Логи FRST сейчас проверю. да, в логах FRST его уже нет. Если других проблем и вопросов не осталось: Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению.

Ссылка на ZOO_2025-09-25_14-35-50.7z: https://disk.yandex.ru/d/jvWwj7Jvp9A7vA Логи во вложениях. Вроде второго dwm больше нет в процессах. Глупый вопрос: что было сделано скриптом? И возможно ли самостоятельное удаление таких майнеров? 2025-09-25_14-36-44_log.txt FRST out2.rar

Не совсем понял какой скрипт и куда копируем. После нажатия исправить FRST система перезагрузилась. Банер при входе не появился. Файл fixlog во вложение. Но я так понимаю дешифратора нет? Fixlog.txt

По очистке системы: Если антивирусная программа будет мешать запуску, временно отключите защиту. Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. ;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv11.0 v400c OFFSGNSAVE hide %SystemDrive%\PROGRAM FILES\PROCESS HACKER 2\PROCESSHACKER.EXE icsuspend delfake hide D:\SOFT\CLEAN\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE ;------------------------autoscript--------------------------- zoo %SystemDrive%\USERS\FEDOR\APPDATA\ROAMING\MICROSOFT\DISM64\APPCORE\APPS64.EXE addsgn BA6F9BB21DE14977E1ABAE7664C912052562660B76058FE8CD40019493D96E4C6B942F7F76DE98ACC2FF8458461649FA7D37928FAA2520BC65F4600704093D73 8 DWM 7 chklst delvir apply ; Bonjour exec MsiExec.exe /X{56DDDFB8-7F79-4480-89D5-25E1F52AB28F} /quiet deltmp delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\GBTECSERVICE\OLEDDISPLAYSERVICE.EXE delref %SystemDrive%\USERS\FEDOR\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\139.0.7258.67\RESOURCES\WEB_STORE\WEB STORE delref %SystemDrive%\USERS\FEDOR\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\139.0.7258.67\RESOURCES\NETWORK_SPEECH_SYNTHESIS\MV3\GOOGLE NETWORK SPEECH delref %SystemDrive%\USERS\FEDOR\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\139.0.7258.67\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\USERS\FEDOR\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\139.0.7258.67\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\WEB_STORE\WEB STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\139.0.3405.86\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION delref H:\AUTORUNMORROWIND.EXE delref H:\SETUP.EXE delref J:\OINSTALL.EXE ;------------------------------------------------------------- restart czoo После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS Добавьте архив CZOO_дата_время.7z из папки, откуда был запущен uVS, Если файл большой, загрузите его на облачный диск и дайте ссылку на скачивание здесь. + добавьте новые логи FRST для контроля

Здравствуйте! Прикладываю.LOCAL-PC2_2025-09-25_14-23-17_v5.0.1v x64.7z

Сейчас же у вас уважаемый Борис есть увлекательная возможность угадать направление первого сегмента моего осеннего путешествия..

Унииверсального решения может не быть. + дополнительно сделайте образ автозапуска системы в uVS с отслеживанием процессов и задач. Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса. 1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог. 2. запустите из каталога с модулями uVS файл Start.exe (для Vista, W7- W11 выберите запуск от имени Администратора) 3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора) 3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4 Если запросили образ автозапуска с отслеживанием процессов и задач: В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. 4. Далее, меню "Файл" / Сохранить Полный образ автозапуска. 5. Дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Несколько дней назад начал замечать, что при загрузке W11 через несколько минут после старта начинат сильно крутиться кулер ЦП. Запуск монитора ресурсов, диспетчера задач и т.п. программ сразу снижает нагрузку и температуру ЦП и обороты кулера ЦП. Сделал мониторинг с msert.exe, увидел, что dwm.exe сильно загружает ЦП, пока не запущены монитор ресурсов, диспетчер задач и т.п. На форуме нашел схожие темы, но не нашел какого-то универсального решения. Во вложеиях логи AutoLogger и FRST, т.к. в каждой теме рекомендация собрать логи этой программой. Прошу помочь избавиться от вредоносного процесса. Спасибо. CollectionLog-2025.09.25-14.09.zip FRST out.rar

По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ HKLM\...\Policies\system: [legalnoticecaption] WARNING WARNING WARNING. HKLM\...\Policies\system: [legalnoticetext] Your Network Infected With BlackHunt Ransomware Team. ALL Your important Files Encrypted and Stolen , 2025-08-31 15:24 - 2025-09-02 09:55 - 000000000 ____D C:\Program Files\Mesh Agent Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Антивирус Касперского предварительно временно отключите. Если архив с uVS сохранился, заново распакуйте архив и запустите start.exe от имени Администратора. (если не сохранился, заново скачайте по ссылке) и еще раз выполните скрипт в uVS. Надо убедиться, что файл был удален. SYSAPP64.EXE

Добрый день. Прошу помощи в расшифровке файлов после атаки шифровальщика BlackHunt 2 Были зашифрованы диски виртуальных машин размещенных на ESXI. Злоумышленникам удалось пробраться во внутрь сети, подобрать пароль root включить ssh и выполнить шифрование. Так же зашифрованы бэкапы veam Во вложение отчет Farbar Recovery Scan Tool с сервера бэкапов и зашифрованные файлы с ReadMe KES установлен уже после зашифровки на сервер Файлов шифровальщика не нашел По рабочим станция был распространен MeshAgent, но KES отработал на него Отчет.rar BlackHunt.rar

мне сказали симки быстро ломаются, если держать смарт на микроволновке, но я не проверял инфу в интернете

не физически понятно. Я в свое время менял симку MTS, поскольку она просто перестала работать. Банковские карточки кстати тоже "ломаются". Тоже менял однажды )

А я снова в дороге.. и что-то мне подсказывает, что это будет весьма интересное путешествие. Ну, во всяком случае, так запланировано. А теперь "внимательно следите за руками" Поехали! (с) 25 сентября 2025. 12:30 московское время - выселаюсь из отеля, едем в аэропорт. До аэропорта в Сочи - вжик и всё. Потом все эти проверки (даже кроссовки заставили снять!) - попытался загрузиться в бизнес-зал, а там мест нет! Ну, ладно, мы не гордые, в кафешке посидим.. Дайте интернету - а хрен там! Мобильный интернет сам по себе не работает, даже подключаясь по сим-карте (у меня в ноуте есть) требует подтверждения по телефону! ОК, для таких случаев у меня есть телефон-дублёр (Хуавей 2019 года выпуска, как новый! - поскольку практически не пользуюсь). А вот номер моего личного телефона стараюсь не палить.. 13:30 - подключился к интернету и вот здесь этот текст.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус, но не отключайте сеть. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ ProxyServer: [S-1-5-21-624384763-3209521592-2877319647-1001] => hxxp://127.0.0.1:12334 RemoveProxy: C:\Users\unrav\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1474560 2025-09-11] (Microsoft Windows -> Microsoft Corporation) U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [98304 2025-09-11] (Microsoft Windows -> Microsoft Corporation) S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [114688 2025-09-11] (Microsoft Windows -> Microsoft Corporation) S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [94208 2025-09-11] (Microsoft Windows -> Microsoft Corporation) S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [184720 2025-09-11] (Microsoft Windows -> Корпорация Майкрософт) cmd: DISM.exe /Online /Cleanup-image /Restorehealth cmd: sfc /scannow cmd: winmgmt /salvagerepository cmd: winmgmt /verifyrepository cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Скачайте этот архив, извлеките из него файлы и последовательно запустите каждый, соглашаясь с внесением изменений в реестр.

Скрипт отработал, но перезагрузку не запустил. Вместо этого Касперский предложил вылечить заражение, я зачем-то согласился и он удалил start.exe. После перезагрузки ошибки больше нет, но нет и описанных логов в папке uVS. Что сейчас лучше сделать? Повторить скрипт с отключенным Касперским? Или просто выгрузить логи FRST?

Addition.txtFRST.txtПрисылаю результат работы FRST64