Активность

Прикрепляю FRST.txt Addition.txt

не удивлюсь, если причина торможения кроется в изменениях, которые внесли в настройки системы эти "оптимизаторы".

Перечитайте правила еще раз по-внимательнее и пришлите все необходимое.

Отключал - Не помогло. Если вы про это, то всё делалось, но ничего не изменилось. bcdedit /set hypervisorlaunchtype off dism /Online /Disable-Feature /FeatureName:Microsoft-Hyper-V-All /NoRestart reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA /v LsaCfgFlags /d 0 /f /t REG_DWORD reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Device Guard" /v EnableVirtualizationBasedSecurity /d 0 /f /t REG_DWORD Вносить ещё какие-либо правки в систему нет желания. Вдруг что-то пойдёт не так или это окажется нужным компонентом.

исправил

Порядок оформления запроса о помощи

Добрый день. Помогите в расшифровке Прикрепил файлы и текстовый док Fixlog.txt 8.3.19.1522.rar

Kriot, Novikov заблокированы за нарушение пункта 1 правил форума

Добавьте так же логи FRST из зашифрованной системы.

а остальные возможные причины по ссылке проверяли?

Sh1kuren, изоляция ядра в ОС отключена?

Да в BIOS всё включено. Уже не знаю, куда там копать. Windows 11 (Домашняя) 24H2. На Windows 10 проблем с этим не было, а как поставил Windows 11, так началось. Даже здесь способы не помогли: https://forum.kaspersky.com/topic/kts-как-включить-аппаратную-виртуализацию-в-windows-5954

Добрый день. Помогите в расшифровке. Ночью 06.08 все зашифровал и все. В инете никакой инфы нет Касперский не был установлен Прикрепил файлы и текстовый док Новая папка.rar BlackField_ReadMe.txt

https://support.kaspersky.ru/common/safemoney/13713

К сожалению, помогает только отключение антивируса. В моём случае не помогло ни снятие галочки, ни отключение интернет-защиты. Некоторые сайты Kaspersky Standard стал долго открывать. Особенно те, что пущены через VPN-соединение. Смена браузеров тоже не помогает. Куда там Касперский ещё внедряется - неизвестно.

Это известная проблема Касперского. Может тормозить из-за внедрения в трафик скрипта, но в моём случае это не помогло, даже интернет защиту отключал. Только с закрытием самого антивируса сайты бодро работать начинают. Подумываю уже о другом антивирусе. Касперский в последнее время часто чудить стал, то ему Аппаратная виртуализация недоступна, хотя всё перерыл в Windows 11 (24H2), то ещё что-нибудь. Не говоря уже о наполнении его всякими твикерами и чистильщиками системы.

Поздравляю!

Отправил данные на указанную почту для участия, в ЛС не дало написать

судя по карантину скрипт был выполнен D19658DBA790F7B35FB1BB928EAF75AA.exe - тело шифровальщика Proton: https://www.virustotal.com/gui/file/557b4ae48dfcf6bc66a6cba54703d6011d1c851232da281b2418453faf64000c?nocache=1 syswow64.exe - бэкдор - A Variant Of Win64/Rescoms.A https://www.virustotal.com/gui/file/93121ef8643f732ab7f9a2ec03095503c42e996ea44a11c96dc46dfda1498a52/detection С расшифровкой файлов по данному типу шифровальщка, к сожалению, не сможем помочь. Сэмпл возможно был заражен вирусом Neshta, так как в системе был файл svchost.com Лучше полностью просканировать системный диск с помощью загрузочного диска KRD После проверки системы, сделайте новые логи FRST для контроля.

файл загружен, ссылка удалена ссылка на Quarantine а файл Fixlog.txt почему то не сохранился в каталоге из которого запускался FRST, - он открылся, написал, что будет сохранен, но после закрытия в каталоге его не было....

По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: () [Файл не подписан] [Файл уже используется] C:\Windows\SysWOW64\syswow\syswow64.exe () [Файл не подписан] C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\D19658DBA790F7B35FB1BB928EAF75AA.exe HKLM\...\Run: [Rmc-LFC65Y] => C:\Windows\SysWOW64\syswow\syswow64.exe [615424 2025-08-06] () [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ HKLM\...\Run: [Everything] => C:\Program Files\Everything\Everything.exe [2265104 2024-08-01] (voidtools -> voidtools) HKLM\...\Policies\Explorer\Run: [Rmc-LFC65Y] => C:\Windows\SysWOW64\syswow\syswow64.exe [615424 2025-08-06] () [Файл не подписан] [Файл уже используется] HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files. HKU\S-1-5-21-585105921-1911826014-2128548296-500\...\Run: [Rmc-LFC65Y] => C:\Windows\SysWOW64\syswow\syswow64.exe [615424 2025-08-06] () [Файл не Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\D19658DBA790F7B35FB1BB928EAF75AA.exe [2025-08-06] () [Файл не подписан] GroupPolicy: Ограничение ? <==== ВНИМАНИЕ S3 IObitUnlocker; \??\C:\PROGRA~2\IObit\IOBITU~1\IObitUnlocker.sys [X] 2025-08-06 09:15 - 2025-08-06 09:15 - 007987254 _____ C:\ProgramData\D19658DBA790F7B35FB1BB928EAF75AA.bmp HKLM\...\exefile\shell\open\command: C:\Users\Администратор\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ 2025-08-05 20:36 - 2025-08-06 16:06 - 000041472 _____ C:\Windows\svchost.com 2025-08-05 20:00 - 2025-08-05 23:41 - 000000000 ____D C:\ProgramData\IObit 2025-08-05 20:00 - 2025-08-05 23:41 - 000000000 ____D C:\Program Files (x86)\IObit 2025-08-05 20:00 - 2025-08-05 20:00 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker C:\Windows\SysWOW64\syswow\syswow64.exe 2025-08-05 20:12 - 2025-08-05 20:12 - 000000000 _RSHD C:\Windows\SysWOW64\syswow 2025-08-05 20:08 - 2025-08-06 02:49 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Everything 2025-08-05 20:00 - 2025-08-06 08:10 - 000000000 ____D C:\Program Files\Everything C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\D19658DBA790F7B35FB1BB928EAF75AA.exe Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы. Файлы имеют расширение helpo2. Может кто сталкивался и сможет помочь ? Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили. Также прикладываю файлы от Farbar Recovery Scan Tool. Может кто сможет помочь.... С Уважением, Евгений. Addition.txt FRST.txt НаборФайлов5шт.zip

Приветсвую, скачивал много доп. по на игру гта 5, попал на вирусы, система тормозит ужасно, фпс упал в 3 раза, вирусы есть в системе еще до этого - но не пользовался устройством, сейчас решил все почистить, попрошу помочь timer resolution + cru + boosterx мои приложения + archive fix FRST.txtAddition.txtCollectionLog-2025.08.06-15.38.zip логи +фрст ниже

Да, выполните следующее: Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): var PathAutoLogger : string; begin clearlog; PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-3)); AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now) +#13#10+ PathAutoLogger); if RegKeyExists('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps', 'x64') then begin AddToLog('LocalDumps - exists.'); if not RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps', 'x64') then AddToLog('Failed to delete LocalDumps') end else AddToLog('LocalDumps key missing.'); if RegKeyParamExists('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting', 'DontShowUI', 'x64') then begin AddToLog('DontShowUI - exists.'); if not RegKeyParamDel('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting', 'DontShowUI', 'x64') then AddToLog('Failed to delete DontShowUI'); end else AddToLog('DontShowUI parameter missing.'); SaveLog(PathAutoLogger+'report.log'); end. Файл report.log прикрепите к следующему сообщению.

Выверяйте задачу обновления для "KESL" на "KSCL". Убедитесь, что указанный путь до каталога обновлений с клиентов доступен. Как вариант примонтируйте его на клиенте вручную и попробуйте обновиться вручную из консоли. Какие сообщения генерирует "KESL" при попытке выполнения задачи обновления?