Активность

Addition.txt FRST.txt

Да, спасибо! "Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): O22 - Tasks: 2a51cd3f-d4d1-4e23-9207-bc0748f4d2fe - C:\ProgramData\TEMPsvp\jhi_serviceuz.exe (not signed - no company - DA39A3EE5E6B4B0D3255BFEF95601890AFD80709) O22 - Tasks: d55d6dbd-2196-4c80-8e57-314c60fb3090 - C:\Users\Public\Libraries\ca017ed4-04ac-44fa-8070-6890c0e1b33f\yusTextInputHost.exe (not signed - no company - DA39A3EE5E6B4B0D3255BFEF95601890AFD80709) O22 - Tasks: HWiNFO - C:\Windows\Branding\BenchMarkGSB\HWiNFO64.exe (file missing) O22 - Tasks_Migrated: 2a51cd3f-d4d1-4e23-9207-bc0748f4d2fe - C:\ProgramData\TEMPsvp\jhi_serviceuz.exe (not signed - no company - DA39A3EE5E6B4B0D3255BFEF95601890AFD80709) O22 - Tasks_Migrated: d55d6dbd-2196-4c80-8e57-314c60fb3090 - C:\Users\Public\Libraries\ca017ed4-04ac-44fa-8070-6890c0e1b33f\yusTextInputHost.exe (not signed - no company - DA39A3EE5E6B4B0D3255BFEF95601890AFD80709) O22 - Tasks_Migrated: HWiNFO - C:\Windows\Branding\BenchMarkGSB\HWiNFO64.exe (file missing) O26 - Debugger (Stack Rumbling): HKLM\..\autoruns.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\autorunsc.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\bcdedit.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\dism.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\GlassWire.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\GlassWireSetup.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\MediaCreationTool22H2.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\mmc.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\mstsc.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\PowerTool.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\PowerTool64.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\ReAgentc.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\recoverydrive.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\regedit.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\rstrui.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\systemreset.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\SystemSettingsAdminFlows.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\tcpview.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\tcpview64.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\vssadmin.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\Wireshark.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\wuapihost.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\wuauclt.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\x32dbg.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\x64dbg.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\xcopy.exe: [MinimumStackCommitInBytes] = 0x41888887 Перезагрузите компьютер. Далее: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

хорошо, а что делать с последними двумя цитатами? п.с. DNS наша сеть раздает автоматически и администратор просит не менять эту настройку.

О17 я не просил фиксить, только нужно было прописать сетевые настройки, которые выдал вам ваш интернет провайдер. Описанные выше проблемы не связаны с вирусами. Активного заражения по логам не видно.

CollectionLog-2025.08.20-13.18.zip оно или нет?

Судя по детекту на VT это Lockbit V3 Black: ESET-NOD32 A Variant Of Win32/Filecoder.BlackMatter.K https://www.virustotal.com/gui/file/1b3e5489e8694c102fd4483462127089d6586aadd5afe7a25de9c8659326cb37/detection Сэмпл видимо защищен паролем. update.exe -pass e32fae18c0e1de24277c14ab0359c1b7 Пароль можно снять. Пароль правильный:

архив загружен, ссылка удалена Fixlog.txt

У одного вентилятора есть разветвитель, к которому можно подключить ещё один вентилятор. Вот такой, но фото не моё:

По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/ HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/ HKU\S-1-5-21-693856920-1604087506-2574800942-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/ HKLM\...\Run: [browser.exe] => C:\Users\Elena\AppData\Local\HowToRestoreFiles.txt [3732 2025-08-19] () [Файл не подписан] Startup: C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ActivityId.vbs [2025-08-18] () [Файл не подписан] Startup: C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IsInherited.vbs [2025-08-18] () [Файл не подписан] Startup: C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Message.vbs [2025-08-18] () [Файл не подписан] GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ S2 wsc_proxy; "C:\Program Files\Avast Software\Avast\wsc_proxy.exe" /runassvc /rpcserver /wsc_name:"Avast Antivirus [X] S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] 2025-08-19 12:58 - 2025-08-19 14:17 - 000000000 ____D C:\temp 2025-08-20 08:51 - 2025-08-20 08:51 - 003605607 _____ C:\Users\Elena\Downloads\Сообщение.rar 2025-08-20 08:50 - 2025-08-20 08:50 - 004666553 _____ C:\Users\Elena\Downloads\Fwd Акт сверки на 18.08.2025.eml 2025-08-19 14:18 - 2022-11-06 17:54 - 000000000 __SHD C:\Users\Elena\AppData\Local\1C8FBF78-CEA9-289F-D10F-BCAD2CFEE8BF 2025-08-18 13:57 C:\Users\Elena\Downloads\akt_sverki_1C_9856665_PDF.com 2025-08-19 14:18 C:\Users\Elena\AppData\Local\1C8FBF78-CEA9-289F-D10F-BCAD2CFEE8BF REboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

R1 и 017 пофиксил, а что дальше делать не понятно.

Здравствуйте! Как и на Кибер-форуме советую - прочтите и выполните Порядок оформления запроса о помощи Определитесь, где будете продолжать, т.к. одновременное лечение на разных ресурсах может вам же повредить и запутать консультанта.

МАКС-глубокий-анализ-мессенджера: Статься в Вики

pro 32 был до но не работал уже давно в папках я пытался декомпилировать exe пароль на архив virus Documents.7z

Здравствуйте! Прочтите и выполните Порядок оформления запроса о помощи Новую тему создавать не нужно, продолжайте здесь.

Мне это особо ни о чем не говорит, покажите на скриншотах, либо пришлите экспорт политики.

Решил поправить время на пк, т.к. оно слетело, попытался его поправить, вылезла ошибка. Почитав темы с такой же проблемой, как у меня, вспомнил, что когда-то давно скачивал обход дискорда, подозрение на него.

FRST.txt Addition.txt

Сообщение.rar

Хорошо. И ещё это, пожалуйста: А также удалите старые и соберите новые логи FRST.txt и Addition.txt

С Днём Рождения!

Да, покажите эту "цепочку" для наглядности и понимания , что это за зверь такой

Эти файлы добавьте, пожалуйста, в один архив с паролем virus: 2025-08-19 09:30 - 2025-08-19 09:30 - 000145005 _____ C:\Users\Администратор\Documents\update.zip 2025-08-16 16:34 - 2025-08-16 16:34 - 000146944 _____ C:\Users\Администратор\Documents\update.exe Добавьте архив в ваше сообщение. покажите что в этих папках: 2025-08-19 09:29 - 2025-08-19 09:29 - 000000000 ____D C:\Users\Администратор\Documents\update 2025-08-19 11:42 - 2025-08-19 11:42 - 000000000 ____D C:\Users\Администратор\Documents\update1 Если систему сканировали KVRT или Cureit (судя по логам FRST) добавьте логи сканирования в архиве без пароля. PRO32 установили после шифрования, или на момент шифрования был установлен? PRO32 Endpoint Security (HKLM-x32\...\{E96E7EF3-8193-425A-94D2-5F46F82EDB01}) (Version: 4.4.0.20 - K7 Computing Pvt Ltd)

+ Добавьте так же сообщение из почты, которое открыл бухгалтер. Сообщение сохраните в файл в формате eml, файл добавьте в архив с паролем vius, архив загрузите в ваше сообщение.

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. Strike (43)Diman (37)Security-Information (41)Mikhalych (48)al_vara_che (39)федвал (73)

в политике KSC -контроль устройств . Прописаны флешки , выбирал пользователей по Active Directory