Активность

разумеется, по закону Яровой

Порядок оформления запроса о помощи

Добрый день. Подскажите, как решить проблему с данным шифровальщиком?

А я не переживаю по Максу, на телефоне есть Госуслуги, Сбербанк и т.д., думаю если они хотели, то все что надо уже собирают с телефона. Касательно самой переписки и анализа ее на сервере, просто помните об этом и учитывайте в общении. У меня вот оператор Сбер, у него включена функция защиты от мошенников, т.е. ИИ анализирует, что говорит собеседник и в случае опасности во время разговора подключается третьей стороной и говорит об осторожности., т.е. все разговоры анализируются ИИ на маркеры фразы в реальном времени и наверное логируются где-то.

@sputnikk не в мошенниках дело ведь. Убирают конкурентов и тех, кто не подчиняется. Те же сотовые операторы не только за трафик деньги хотят, но и за ваши минуты.

судя по сообщениям в прессе мошенники звонят и по МАХ, при этом номер звонящего скрыт

Клубчане, вот вам подарок на ДР клуба, сам вырастил, не ИИ, немного ухода, обрезки, ну и фосфор с калием в виде допинга). P.S. Фото портретное специально, в пейзажном формате мне меньше понравилось.

С Днём Рождения!

Готово. Fixlog.txt

Выполнитк очистку в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: AlternateDataStreams: C:\Users\Professional\Application Data:f1110d733c8939dcd961030d636e45d3 [394] AlternateDataStreams: C:\Users\Professional\AppData\Roaming:f1110d733c8939dcd961030d636e45d3 [394] 2025-08-23 09:50 - 2025-08-23 09:50 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll R3 cpuz158; C:\Windows\temp\cpuz158\cpuz158_x64.sys [44592 2025-08-24] (Microsoft Windows Hardware Compatibility Publisher -> CPUID) <==== ВНИМАНИЕ HKU\S-1-5-20\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-19\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-20\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

scannow молчит. Reg-файл добавил, не перезагружался. Сейчас всё поставлю. Да, был момент, когда он создавал в загрузках и в декстопе папку "Av_Block_remover", Не обратил на это внимание пока вручную менял безопасность папок и удалял.

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS. Запустите reg файл и подтвердите внесение информации в реестр. Сделайте проверку системы на ошибки с исправлением ошибок chkdsk сделайте проверку целостности системы. sfc /scannow Возможно есть какая проблема с Windef Windows Defender: Error #0x80070002 Наличие ссылок на этот файл указывает на то, что было заражение майнером Jhon FirewallRules: [{E276A868-D312-4A72-8D23-8AE47D664E1A}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла попробуйте это лекарство. Скачайте AV block remover (или с зеркала). Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем. Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads). В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

А, до этого запускал отслеживание. Случайно вышло. Удалил.

Этот файл удалите вручную C:\Windows\system32\rfxvmt.dll отслеживание зачем запустили. запросили обычный образ автозапуска. без отслеживания. Отслеживание задач: 1 Отслеживание запуска процессов: 1 Отслеживание завершения процессов: 1 Отслеживание командной строки процессов: 0

Доброй ночи! Остановился на удалении ссылок на DLL (сервисы не тронуты), удалил. Готово. 2025-08-24_03-45-10_log.txt FRST.txt

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. Роман2550 (56)Гуля Наильевна Бурлакова (34)

Aida64 зачем у вас в автозапуске, тем более без цифровой Startup: C:\Users\Specter\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\aida64.exe [2025-07-13] (FinalWire Ltd.) [Файл не подписан] Startup: C:\Users\Specter\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\aida64.ini [2025-08-21] () [Файл не подписан] ---------------- выполните очистку системы: Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу без перезагрузки системы. Архив ZOO*** из папки, откуда запускаете uVS загрузите на облачный диск и дайте ссылку на скачивание. здесь.

По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы HKLM-x32\...\Run: [] => [X] HKLM\...\RunOnce: [39e74cf6-55fa-4ef5-8891-52b7d423d803] => "C:\Users\logout\AppData\Local\Temp\{c343837d-a2f4-4073-83b8-bc371587bb2a}\39e74cf6-55fa-4ef5-8891-52b7d423d803.cmd" (Нет файла) <==== ВНИМАНИЕ HKLM\...\RunOnce: [fd2222d5-356a-4c71-8488-12a615617cf9] => "C:\Users\logout\AppData\Local\Temp\{cabda475-14dc-4a60-a390-5d9dbd8848c2}\fd2222d5-356a-4c71-8488-12a615617cf9.cmd" (Нет файла) <==== ВНИМАНИЕ HKLM\...\RunOnce: [06657843-f143-4718-8ab0-d72327c12f3f] => "C:\Users\logout\AppData\Local\Temp\{25b928a8-f41e-4f3a-b0e2-73a6725a843a}\06657843-f143-4718-8ab0-d72327c12f3f.cmd" (Нет файла) <==== ВНИМАНИЕ HKLM\...\RunOnce: [f406c3d8-1b49-48a5-856f-68cc6d91e24f] => "C:\Users\logout\AppData\Local\Temp\{588f5803-fecf-4cf0-b768-c1548b36d3d2}\f406c3d8-1b49-48a5-856f-68cc6d91e24f.cmd" (Нет файла) <==== ВНИМАНИЕ HKLM\...\RunOnce: [ed11e0b7-12fd-4d64-8c57-52c0655bf5db] => "C:\Users\logout\AppData\Local\Temp\{aa4d5a3e-d028-461a-8a0b-e1c2647c20a3}\ed11e0b7-12fd-4d64-8c57-52c0655bf5db.cmd" (Нет файла) <==== ВНИМАНИЕ HKLM\...\RunOnce: [6e0a54ee-1056-4236-939c-e2c090a9c082] => "C:\Users\logout\AppData\Local\Temp\{15c0d5a5-7a0d-48d0-9ed5-97bbba1573ee}\6e0a54ee-1056-4236-939c-e2c090a9c082.cmd" (Нет файла) <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ Task: {44BB9BAB-DAB1-47FC-B21B-9FBB2D7D6897} - System32\Tasks\DuJlWwvV => C:\Windows\system32\cmd.exe [289792 2024-09-03] (Microsoft Windows -> Microsoft Corporation) -> /C powershell.exe -noni -nop -w 1 -enc IABjAC4AZQB4AGUAIAAtAGYAdQBsAGwAaQBuAHMAdABhAGwAbAA= > \Windows\Temp\tvOuZI 2>&1 <==== ВНИМАНИЕ Task: {FFCF7671-8203-4365-82CB-A21FD88F4D68} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1945624045-1199837794-592266151-1104 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Нет файла) <==== ВНИМАНИЕ Task: {63F8B78C-978E-4C0B-805D-4421EDDF56DB} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1945624045-1199837794-592266151-3389 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Нет файла) <==== ВНИМАНИЕ Task: {BF32F856-2799-45CE-9044-866C666919E8} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-2898191034-3396799920-1222824162-1002 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Нет файла) <==== ВНИМАНИЕ Task: {76667198-4A30-4B9A-AA44-0B6B48BEAF56} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1945624045-1199837794-592266151-1104 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Нет файла) <==== ВНИМАНИЕ Task: {B940DB65-16D4-4BDC-9918-A3D415B83E16} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1945624045-1199837794-592266151-3389 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Нет файла) <==== ВНИМАНИЕ Task: {CC2228A3-19A5-4366-A828-5E40E3E9467F} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-2898191034-3396799920-1222824162-1002 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Нет файла) <==== ВНИМАНИЕ Task: {2521FB41-73E2-4A3E-8F54-50BC95489C7D} - System32\Tasks\OneDrive Startup Task-S-1-5-21-1945624045-1199837794-592266151-1104 => C:\Users\logout\AppData\Local\Microsoft\OneDrive\25.140.0720.0001\OneDriveLauncher.exe /startInstances (Нет файла) Task: {AF025E4C-7165-43BE-980B-D1237E5BEB78} - System32\Tasks\WymQbhCl => C:\Windows\system32\cmd.exe [289792 2024-09-03] (Microsoft Windows -> Microsoft Corporation) -> /C c.exe -fullinstall > \Windows\Temp\CKnGAJ 2>&1 <==== ВНИМАНИЕ 2025-08-22 14:19 - 2025-08-22 14:22 - 000000000 ____D C:\Users\logout\Desktop\1 Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

С Днём Рождения!

Но ведь это не государственное ПО. Оно такое же государственное, как РуСтор или антивирус Касперского. https://t.me/mydaybug/518 В общем, подпишитесь, будет полезно. Приеду из Дагестана, напишу вторую часть.

Здесь есть шифрование. Проверьте ЛС.

Поздравляю!

Переделанные файлы. crypt.rar FRST.rar KVRT2020_Data.rar

По очистке системы: Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. ;uVS v5.0v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delall %SystemDrive%\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL apply regt 27 deltmp delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {1FD49718-1D00-4B19-AF5F-070AF6D5D54C}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\MSEDGE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\22.11.5.709\INSTALLER\YNDXSTP.EXE delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\DRIVERS\VMBUSR.SYS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\PDFPREVIEW\PDFPREVIEWHANDLER.DLL delref {21E17C2F-AD3A-4B89-841F-09CFE02D16B7}\[CLSID] delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %SystemDrive%\PROGRAMDATA\MICROSOFT\MAPDATA\UR24F8FUOO\GLOBALDATAJ.BAT delref %Sys32%\TASKS\MICROSOFT\WINDOWS\GLOBALDATAJ\RECOVERYHOSTS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\INSTALLER\SETUP.EXE delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\ELEVATION_SERVICE.EXE delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\DEFINITION UPDATES\DEFAULT\MPKSL77CCBEB0.SYS delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\USERS\PROFESSIONAL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BLPCFGOKAKMGNKCOJHHKBFBLDKACNBEO\4.2.8_0\YOUTUBE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\BOOKMARK_MANAGER\BOOKMARK MANAGER delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.51\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\FEEDBACK\FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\CLOUD_PRINT\CLOUD PRINT delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.114\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION delref %SystemDrive%\USERS\PROFESSIONAL\APPDATA\LOCALLOW\IGDUMP\SEC\IG.EXE delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVIDIA APP\CEF\NVIDIA APP.EXE delref F:\RISK OF RAIN 2\RISK OF RAIN 2.EXE ;------------------------------------------------------------- restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + добавьте новые логи FRST для контроля

Да, процесс лечения здесь не мгновенный, занимает определенное время, так что смело ложитесь спать, образ проверю, скрипт очистки напишу, если что-то будет найдено. К тому же здесь у всех разные часовые пояса.