Активность

Итого: всё решабельно. 782xxx.xods

Оба пункта выполнены SecurityCheck.txt

SOCKS - это простой прокси протокол, его задачей является только создание туннеля, а не маскировка приложений. Похоже, я нашёл. Пришлось вручную перебирать сетевую активность процессов через Process Explorer. Оказался System Idle Process. Не знаю, зачем процессу-заглушке это нужно, но он создал кучу соединений. Попробую разобраться что к чему. Наверное, тему можно закрывать. Большое спасибо за помощь и уделённое время. Всего доброго!

782 78-2 + "004"! = 76+24 = 100 - "не-004" как-то многовато вариантов.. Смотрим четырёхзнаки: 7820 <= "7821" 7821 7+V(8+2-1) = 10, 78-2+(1+"03")! = 78-2+(-1+"05")! = 100 not "02,03,05,10" =12 штук. 7822 78+22 = 100, 7+82+2 = 91 not "01,02,09,10" =2 штуки (конкатенация '2', четвёрку считаем отдельно) 7823 <= "7826" 7824 78-2+4! = 100, 78+2^4 = 94 not "01,02,06,10" empty. 7825 78-2+(5-"01")! = 100, (-7+8)*2*5 = 10, 78+25 = 103, -7-V(8^2)+5!=105 not "01,02,03,05,10" empty. 7826 (-7+8)*V(-2+6) = 2, 78+2*6 = 90, 7+82+6 = 95, 7*8*2-6 = 106 not "02,05,06,10" 6. // '10' бесполезна. 7827 7+8+2-7 = 10, 7*8*2-7 = 105, 78-2+(7-"03")! = 100 not "02,03,05,10" =12. 7828 (-7+8)*(2+8) = 10, 78+28 = 106 not "02,06,10" =6. 7829 <= "7623" Итогl = 38 вариантов. 782107 782707 782117 782717 782156 782756 782165 782765 782166 782766 782167 782767 782170 782770 782171 782771 782176 782776 782177 782777 782178 782778 782187 782787 782258 782856 782285 782867 782876 782656 782877 782667 782878 782676 782887 782677 782678 782687

Но SOCKS по идее должен скрыть приложение. может поэтому сетевые утилиты фиксируют его как неопознанное?

При закрытом Файрфоксе всё то же самое. По идее - Файрфокс ходит через локальный прокси, который потом стучится в интернет (тот самый core.exe)

> 778177 100 = -V(V(V(77^8)))+177 - конкатенация '1', то есть для '0' через 0! не подходит, и ноль надо решать отдельно. Без конкатенации так: 77+8+1+7+7. А все остальные у меня вот такие: 778xxx.xods

Отлично! В завершение, пожалуйста: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратораЕсли увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению.

Не может это быть реакцией на прокси в FF? FF NetworkProxy: Mozilla\Firefox\Profiles\um5d5f40.default-release -> socks", "127.0.0.1"

Да, все твики установились успешно. Malwarebytes и CureIt не видит угроз. Спасибо Вам огромное!!!

Addition.txt FRST.txt

Просьба не цитировать, и так все понятно. Я имею ввиду вот этот детект "Ransom.Genetiс" в названии вы откуда взяли? Чье это было срабатывание: 360, или Касперского? Trojan-Ransom.Win32.Generic --- это более походит на детектирование Касперского, значит в логах обнаружения должна быть запись по этому детекту + Добавьте так же логи FRST из зашифрованной системы.

FRST сделал. Полное сканирование в Касперском делаю. Долго идёт. Лог быстрой проверки ещё. Я не очень понимаю что конкретно требуется, если не трудно, пишите как совсем новичку.) Полную проверку тоже выкладываю. на 94% сделано правда. Завтра утром сделаю полную тогда. Надо идти просто.. А конкретного срабатывания не видел. До этого стоял антивирус 360, я его снёс и касперский поставил. Проверки_27_01.zip

Добавьте так же логи FRST, может там будет полезная для анализа информация.

Не-а, не меняется.

А если временно отключить антивирусную защиту, картина сетевых подключений не меняется? + Добавьте так же логи FRST, может там будет полезная для анализа информация.

Смотрю программой CurrPorts и netstat. Вот что выдаёт netstat из-под администратора. Core.exe - это ядро Throne. А Throne.exe - графическая оболочка. Процессы легитимные. Я и через Вирустотал их проверял. Короче, чертовщина какая-то. Я грешу на механизмы защиты Касперского, может быть они дают такой эффект, а свой процесс скрывают, чтобы его не прибили вирусы. Но кто знает.

А в чем вы смотрите данные сетевые подключения? в uVS их тоже не видно среди приложений, который имеют сетевую активность. По диапозону используемых портов ближе всего Core, (C:\USERS\KOTYA\APPDATA\ROAMING\THRONE\CORE.EXE) но пересечений с неизвестным процессов не увидел по портам.

Фаерволл от Касперского не видит эти подключения, к сожалению. Ощущение такое, будто этот процесс дублирует легитимные соединения.

Хорошо, но посмотрим и такие логи: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

Архив quaratine отправил по форме, присланной вами. Провёл повторную диагностику автологгером (архив прикрепил к сообщению) CollectionLog-2026.01.27-16.16.zip Проверил диспетчер задач, тот dwm.exe пропал.

Увы, очистка системы не поможет восстановлению зашифрованных файлов. Для доп. анализа проверьте ЛС. С расшифровкой файлов по данному типу не сможем помочь. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Большое спасибо за скрипт!!! Высылаю FixLog Fixlog.txt

Все твики применились успешно? Сделайте полную проверку Malwarebytes, при обнаружении угроз сохраните отчёт в текстовый файл (Экспорт) и прикрепите к следующему сообщению. Также повторите проверку CureIt. Сообщите результат.

С днем рождения! Помним Вадима...