Активность

вот еще лог SecurityCheck забыл приложить. SecurityCheck.txt

всем добрый день! буквально вчера заметил проблему. пока играл ночью, решил прилечь на 5-15 минут, не сворачивая и не закрывая игру, а когда вернулся - передо мной предстал экран блокировки (которого быть не должно, если игра не закрыта и не свернута). после разблокировки рабочий стол прогружался по крайней мере минут 10 и появилась пустая командная строка без команд. спустя час-другой я решил выключить компьютер, но и тут возникла проблема - весь компьютер потух, кроме системника (который так и не выключился). после перезагрузки через кнопку ПК все же смог выключиться, однако сегодня я решил проверить ПК на наличие угроз через DR.web и обнаружилось 2 проблемы с ошибкой лечения: DPH.Process.Hollowing.EP и DPH.Process.CERT.Adware. также хочу сообщить, что при автоматической сборки логов программа зависла на какое-то время, а после этого в журнале на одной из операций появилось "операция прервана пользователем", логи прикрепляю, как и скриншот из dr web CollectionLog-2025.08.25-16.49.zip

я просто увидел в отчете что какие то процессы связанные с services кушают трафик, в интернете пишут, что под него иногда маскируются вредители. поэтому снова запрос и подал. если попробовать завершить эту службу в диспетчере задач, то не удается это сделать. скриншот прилагаю. на втором скрине отобразил место нахождения файла.

установил доктор веб, включил брандмауэр, проверил сетевые настройки, проверил установленные приложения, проверил, что в них отключены обновления и все, ничего не нашел. но за выходные трафик куда то делся. может есть способ понять куда?

Вы говорили: И что он ответил?

Добрый день, обращаюсь снова. Никак не могу найти куда убегает трафик на рабочем компьютере. Оставил на выходные компьютер включеным и с помощью программы NetWorx версии 5.5.5 показывает что кто то скушал трафик. скрин прилагаю. Так же на компьютере установлен корпоративный антивирус, управляемый администратором, отключить его, удалить или както взаимодействовать возможность отсутствует. п.с. так же прилагаю дополнитльные логи. прошу помощи в поиске виновника, а то трафик, сильно ограниченный на работе, улетает непонятно куда. Addition.txt CollectionLog-2025.08.25-13.45.zip FRST.txt FSS.txt ILIA_2025-08-25_15-11-26_v5.0v x64.7z Shortcut.txt

Г. Абакан, 25 августа 2025 года, парк «Сады мечты».

https://habr.com/ru/articles/718964/

Здравствуйте, никаких гарантий нет в части расшифровки.

Здравствуйте! Файлы на сервере были зашифрованы zeppelin-ом. Система зависла в процессе, поэтому работу вирус не завершил. Сервер после этого не загружал, подключил HDD к другому компьютеру, и вытащил ключи из реестра вместе файлом вируса. Как я понимаю, бесплатное решение на данный момент отсутствует. Коммерческой лицензии Касперского нет. Имеет ли смысл её приобретать для обращения в техподдержку (помогут ли)? 20.zip

Восстанавливаете на другой носитель? или в эту же систему?

вложение Addition (1).txt FRST (1).txt

а этот файл можете предоставить?

Дербент, 23 августа 2025 года. Северная стена Дербентской крепости, Старый город, Цитадель Нарын-Кала и гора Джалган в одном кадре.

По моему мнению сегментация на L3 лучше, нежели на L7, но решать вам.

что самое интересное, при попытке восстановить файл программой Wondershare recoverit на предпросмотре видно все содержимое в первоначальном виде. Но при восстановление, получаем битый не открывающийся файл. Как то предпросмотр видит файл в нормальном виде.....Как...и как его в таком же нормальном виде восстановить, пока не поймём.

Спасибо. Неожиданно. Если на Каспера нет надежды (а ему уже скоро 30 лет исполнится) в такой не сложной задачке, как сетевой "железный занавес" с одной дырочкой (ну ладно, с парочкой дырочек), то я удивлён...

Выходит атаковали через домен. Всем, кто авторизовался в домене, прилетели эти файлы (которые в архиве), и запустились. Возможно, что была атака с целью максимального повреждения файлов, т.е. не шифрование, а повреждение без возможности восстановления.

они пустые, возможно какие то файлы от программ, которые уже использовали на чистой системе, пытаясь восстановить файлы. Использовали: Wondershare recoverit, puran file recovery Архив все равно прикрепилфайлы по запросу.rar

Эти файлы можете добавить в архиве без пароля?: 2025-08-04 11:41 - 2025-08-04 11:41 - 000000000 _____ C:\Recovery.txt 2025-08-05 04:32 - 2024-11-01 06:29 - 000000000 _____ C:\Users\alpeev\Desktop\Текстовый документ.decryptedKLR.txt Этот файл добавьте в архив с паролем virus, полученный архив добавьте в ваше сообщение. 2025-07-29 11:14 - 2025-07-29 09:36 - 000201216 _____ C:\Windows\SysWOW64\LocalManProv.exe

Здравствуйте! Деинсталлируйте MediaGet как нежелательное ПО. Файл Check_Browser_Lnk.log из папки перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

совсем забыл. обнаружены подозритеvirus.rarльные файлы. прикреплю в архиве с паролем virus

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

С Днём Рождения!

Доброго времени суток 30.07 все ПК сети введенные в домен одновременно перезагрузились. Виндовс больше не запустился, все остановилось на "восстановлении системы". Система не восстанавливалась, у некоторых ПК диски вовсе упали в RAW. Поверх был установлен виндовс, но старые файлы пользователей так и не открылись( у всех файлов(кроме .txt, которые открываются) одна и та же дата/время изменения файла с минутной разницей). Файл FRST сделан из под командной строки "восстановления системы". Файл Addition не формируется. Записки о выкупе не обнаружено. Прикрепляю файл FRST и зашифрованные файлы. FRST.rarзашифрованные файлы.rar