Активность

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Наверняка Вы запускали что-то, что ее заново устанавливало. Других вариантов быть не может. Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе. Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;Прикрепите этот файл в своем следующем сообщении.

Спасибо организаторам)

Хорошо, тогда закрываю.

Нашел папку, думал там же где и лог создается. Quarantine1.7z

Сообщение от модератора Mark D. Pearlstone Общайтесь с ТП. Тема исчерпала себя уже давно. Закрыто.

Знаете, насколько бы это тривиально не звучало, искать по IP не пробовали. Сейчас проверил, устройство есть, но под другим именем... Видимо вот он, корень всех проблем.... Спасибо Майк!)

Хм. Не знал, что этот движок после переноса в черновики и обратно пересоздаёт ссылку

Техническая возможность есть, но не хватает главное. Приватного ключа, который необходим для расшифровки файлов. + Проверьте ЛС.

Искали по IP адресу устройство?

А схема обновления какая у вас? KSC имеет прямой доступ к серверам обновлений или обновляется через KUU?

Смотрел, там нет

Здравствуйте, посмотрите группу "Нераспределенные устройства" на сервере администрирования.

Файл Fixlog.txt прикрепили. Ссылка на архив Fixlog.txt

CollectionLog-2025.09.29-12.46.zip

Предустановленное ПО не трогайте, остальное чистим: Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению: Сбросить политики IEСбросить политики Chrome Убедитесь, что закрыты все браузеры.В меню Информационная панель нажмите Запустить проверку.По окончании нажмите кнопку Карантин и дождитесь окончания удаления.Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).Прикрепите отчет к своему следующему сообщению.(Обратите внимание - C и S - это разные буквы). Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!! Подробнее читайте в этом руководстве.

на пк всего одна учетка, больше нету Да, ее нигде не видно. AdwCleaner[S00].txt

Снова здравствуйте, прикрепляю CollectionLog-2025.09.29-15.44.zip

Через Параметры - Приложения как понимаю тоже не видно, так? Вероятно была установлена в другом профиле системы (в этом - pk3). Попробуйте зайти в него и там удалить. Дополнительно: Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.Запустите (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.

Через программу Geek не видно App Explorer. Скрипт выполнил. Через программу Geek не видно App Explorer. Скрипт выполнил. Fixlog.txt Однако, теперь иногда появляется установщик Нортона. Предлагает установить, либо появляется ярлык на рабочем столе папки с нортоном Редирект на ресурс остался

Всем привет!) Помогите профану в этой стези) Есть несколько машин, на которых установлен агент, который подключен к серверу безопасности, но сам сервер его не видит. При этом агент получает обновления, и подключается к серваку. Сервак же не видит этой машины. Пробовали удалять агента с помощью cleaner.exe, и накатывать повторно - не помогло Помогите, пожалуйста. Машина на Windows 7 KSC - 15.1 Агент - 15.1

App Explorer - по-прежнему в списке установленных. Если не получается удалить стандартно, удалите принудительно через правую кнопку с помощью Geek Uninstaller Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKU\S-1-5-21-102457405-3801640905-1653260570-1002\...\MountPoints2: {33c76713-6c43-11ef-a46d-b00659623216} - "D:\HiSuiteDownLoader.exe" HKU\S-1-5-21-102457405-3801640905-1653260570-1002\...\MountPoints2: {acf9e8f9-4058-11ec-a3cc-1c697a7757f8} - "D:\HiSuiteDownLoader.exe" HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ Task: {034A2FCC-942A-4FE5-90F2-53816F67DEDA} - System32\Tasks\Avast Emergency Update => C:\Program Files\Avast Software\Avast\AvEmUpdate.exe (Нет файла) Task: {1C191254-BDE8-42F6-894E-35620E4623BE} - System32\Tasks\Norton Security\Norton Security Autofix => C:\Program Files\Norton Security\Engine\22.20.5.40\SymErr.exe /ui (Нет файла) Task: {08136DBE-4778-4C99-9172-BB95FCDE51BC} - System32\Tasks\Norton Security\Norton Security Error Analyzer => C:\Program Files\Norton Security\Engine\22.20.5.40\SymErr.exe /analyze (Нет файла) Task: {80FDA466-7D7D-49AD-BF82-CC742FB245B0} - System32\Tasks\Norton Security\Norton Security Error Processor => C:\Program Files\Norton Security\Engine\22.20.5.40\SymErr.exe /submit (Нет файла) Task: {AD03A97F-4C29-438A-92D2-F5D941EEA4EC} - System32\Tasks\NortonLifeLock Trial Agent V2 => "C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NLOKTrialAgentV2.exe" /scheduled (Нет файла) C:\Users\pk3\AppData\Local\Google\Chrome\User Data\Default\Extensions\amfgabfnnnaeeendcohljjlcglbgjmcl ContextMenuHandlers1: [NortonLifeLock.Norton.Antivirus.IEContextMenu] -> {FAD61B3D-699D-49B2-BE16-7F82CB4C59CA} => -> Нет файла ContextMenuHandlers2: [NortonLifeLock.Norton.Antivirus.IEContextMenu] -> {FAD61B3D-699D-49B2-BE16-7F82CB4C59CA} => -> Нет файла ContextMenuHandlers6: [NortonLifeLock.Norton.Antivirus.IEContextMenu] -> {FAD61B3D-699D-49B2-BE16-7F82CB4C59CA} => -> Нет файла FirewallRules: [{EE6B1BD8-8CD8-4359-87FC-9DDA02DBD0AD}] => (Allow) LPort=1521 FirewallRules: [{3C7DB8C4-EFDB-4B82-B2AE-05AC64540073}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [{E425A1A1-69FE-4AC2-BC5D-33A644F9E85B}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [{77E4CCAC-FCE6-415E-B193-A1BEE0729917}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\22.3.5096.64\installer\ceup.exe => Нет файла FirewallRules: [{D03F05A1-F693-4193-AB1F-76E9E3F5F666}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\22.3.5096.64\installer\ceup.exe => Нет файла FirewallRules: [{DBF4A17E-93A2-4FCB-A816-5C2538290771}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла FirewallRules: [{5476857A-6183-48CA-B32D-DB32244A17D6}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла FirewallRules: [{590720E4-8BE5-4CA7-A468-7B16C699CDC2}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\22.3.5096.64\installer\360mlupdate.exe => Нет файла FirewallRules: [{F6F370D8-EE2F-402E-9E41-3CC06A6983DE}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\22.3.5096.64\installer\360mlupdate.exe => Нет файла EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

по файлам: lucky_john.exe ESET-NOD32 A Variant Of Win32/Filecoder.Mimic.C Kaspersky HEUR:Trojan-Ransom.Win32.Mimic.gen DrWeb Trojan.Encoder.40979 https://www.virustotal.com/gui/file/45726c8e3c315c21e36dea3eb11ac966471466c4c271a75e98d76a65b1f43a02?nocache=1 По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\...\Run: [lucky_john.exe] => C:\Users\noname\AppData\Local\How-to-decrypt.txt [1454 2025-09-26] () [Файл не подписан] HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your PC. Policies: C:\Users\buh_cheb_1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_cheb_2\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_cheb_4\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_14\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_15\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_150\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_151\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_152\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_153\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_17\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_18\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_21\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_33\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_43\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_45\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_46\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_48\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_52\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_yar_1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_yola_2\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\slavin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\victor\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ 2025-09-26 04:36 - 2025-09-26 08:58 - 000001454 _____ C:\How-to-decrypt.txt 2025-09-26 04:36 - 2025-09-26 04:36 - 000000000 ____D C:\temp 2025-09-26 04:35 - 2025-09-26 04:35 - 000000000 ____D C:\Users\noname\WINDOWS 2025-09-26 04:34 - 2024-05-21 17:34 - 000128000 _____ C:\NS v.2.exe 2025-09-29 15:10 - 2024-02-05 13:24 - 000000000 __SHD C:\Users\noname\AppData\Local\51271509-366D-30C9-038E-A0FA16B1DDED Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Нет, на некоторых только. На счет UDP портов проверю обязательно, Спасибо

Хорошо. Примите к сведению - Рекомендации после удаления вредоносного ПО