Активность

FRST.txt не прислали

А чем системные ножницы не устраивают? Win + Shift + S. Сразу в папку сохраняют. Все как вам нужно.

Проверьте ЛС.

Temp.rar

да, этот ПК тоже зашифрован. Кажется был взломан ночью. Вчера я для сотрудника настроил RDP, Windows 10 стоит, со своим дефендором включенным. Сотрудник поработал потом отключился. Я зашел туда, оба учетных записи заблокированы: и Администратор и учетка для сотрудника, тоже с функциями администратора

Проверьте ЛС.

файл updt.ps1 так же добавьте в архиве с паролем virus

Добрый день, коллеги Подскажите пожалуйста, какие порты должны быть открыты на межсетевом экране, чтобы KES получал обновления от KSC

Добрый день, Какие антивирусы сами присмотрели? Какой бюджет? Какой сферы организация? Может быть попадаете под какую-нибудь акцию: https://www.kaspersky.ru/small-to-medium-business-security/special-offers Можете посмотреть сравнения функционала: https://b2b-compare.kaspersky.ru/ Под текущие требования вам должно быть достаточно "Kaspersky Endpoint Security для бизнеса Стандартный", но перед покупкой лицензии рекомендую обязательно установить пробную версию и попробовать антивирус на нескольких устройствах.

Нашел решение сам. По умолчанию была создана политика для KES 12.2, а на рабочих станциях установлена 12.3 Нужную политику загрузил вручную. Дальше подгрузил ключ, начали обновляться базы. Как всегда все лежало на поверхности...

что делать?

Прикрепляю данные скана report_2025.08.07_08.46.39.klr.rar

запустил еще раз проверку KVRT, как закончит, пришлю данные cls1.rar

судя по логу KVRT детекты шифровальщика не найдены.

Эти файлы cls* оба добавьте в архиве без пароля. KVRT гляну сейчас - сэмплы не обнаружены.

Добрый день. Подскажите, пожалуйста, какой антивирус выбрать для организации при следующих условиях: -55 компов, из них 1 макбук -основная работа в 1с, расположенной на удаленном сервере -канал настроен на микротике -сетевые папки расположены на виртуальном сервере -используются виртуальные машины, расположенные на другом виртуальном сервере. Вопросы нубские, предполагаю, но я не спец. Меня озадачили подыскать антивирус, но я заблудилась в предлагаемых вариантах (( хэлп ми, плиз зы: что мне узнать у более знающих, чтобы картина была понятнее?

Attention.hta - это и есть записка о выкупе. Этот ПК тоже зашифрован? + проверьте ЛС.

а что именно неправильно? Или я что-то не понял, извините

Нужен отчет в соответсвии https://forum.kasperskyclub.ru/topic/65731-pravila-oformleniya-zaprosa-o-pomoschi

В логах не видно явных признаков заражения. Видно - для ряда системных устройств не установлены драйверы. Попробуйте с помощью утилиты от Lenovo установить недостающее и при необходимости обновить. Некоторый мусор почистим. Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ HKLM\Software\Policies\...\system: [EnableSmartScreen] 0 IFEO\'AggregatorHost.exe': [Debugger] C:\WINDOWS\System32\taskkill.exe IFEO\'CompatTelRunner.exe': [Debugger] C:\WINDOWS\System32\taskkill.exe IFEO\'DeviceCensus.exe': [Debugger] C:\WINDOWS\System32\taskkill.exe IFEO\mobsync.exe: [Debugger] systray.exe GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url> U4 SgrmAgent; отсутствует ImagePath U4 SgrmBroker; отсутствует ImagePath EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

report_2025.08.07_06.44.20.klr.rar

В архиве все, что было в папке KVRT2020_Data Скриншот приложил Cls12 не папка, а файл, скрин приложил kvrt.rar

Есть старый маленький локальный сервер, на нём есть 3 диска, точно заразился 1 из них, который общедоступный. Не все папки и файлы заразились. Запустил Cureit, он ничего не нашёл (точнее кажется не видит). Но во многих папках имеются файл с название --attention.hta, а зашифрованные файлы имеют свои наименования плюс добавилось такое: например блокнот.txt_[UID=YMG-MBMFV TelegramID=@recoveryfiles1].ano. У всех файлов расширение .ano. Были небольшие попытки расшифровать некоторые файлы с помощью декрипторов не помогло. Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать. Прикрепляю логи FRST, пару скриншотов (с безопасного режима всё делал), архив с примерами зашифрованных файлов, архив с файлом attention.hta и каким то подозрительным файлом (может это был свой файл зашифрованный). Никакого текста с вымоганием пока не нашёл. Если где неправильно что-то оформил извините. Случай сегодня обнаружился, судя по времени изменения файлов всё произошло ночью по местному времени.FRST.txt Addition.txt Shortcut.txt кажется вирус имеются во всех папках.rar примеры зашифрованных файлов.rar

С Днём Рождения!

Если систему сканировали с помощью KVRT или cureit, добавьте, пожалуйста, логи и отчеты по сканированию, в архиве, без пароля.