Активность

Подскажите пожалуйта, есть ли техническая возможность расшифровать файлы?

Искали по IP адресу устройство?

А схема обновления какая у вас? KSC имеет прямой доступ к серверам обновлений или обновляется через KUU?

Смотрел, там нет

Здравствуйте, посмотрите группу "Нераспределенные устройства" на сервере администрирования.

Файл Fixlog.txt прикрепили. Ссылка на архив https://dropmefiles.com/x32Yy Fixlog.txt

CollectionLog-2025.09.29-12.46.zip

Предустановленное ПО не трогайте, остальное чистим: Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению: Сбросить политики IEСбросить политики Chrome Убедитесь, что закрыты все браузеры.В меню Информационная панель нажмите Запустить проверку.По окончании нажмите кнопку Карантин и дождитесь окончания удаления.Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).Прикрепите отчет к своему следующему сообщению.(Обратите внимание - C и S - это разные буквы). Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!! Подробнее читайте в этом руководстве.

на пк всего одна учетка, больше нету Да, ее нигде не видно. AdwCleaner[S00].txt

Снова здравствуйте, прикрепляю CollectionLog-2025.09.29-15.44.zip

Через Параметры - Приложения как понимаю тоже не видно, так? Вероятно была установлена в другом профиле системы (в этом - pk3). Попробуйте зайти в него и там удалить. Дополнительно: Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.Запустите (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.

Через программу Geek не видно App Explorer. Скрипт выполнил. Через программу Geek не видно App Explorer. Скрипт выполнил. Fixlog.txt Однако, теперь иногда появляется установщик Нортона. Предлагает установить, либо появляется ярлык на рабочем столе папки с нортоном Редирект на ресурс остался

Всем привет!) Помогите профану в этой стези) Есть несколько машин, на которых установлен агент, который подключен к серверу безопасности, но сам сервер его не видит. При этом агент получает обновления, и подключается к серваку. Сервак же не видит этой машины. Пробовали удалять агента с помощью cleaner.exe, и накатывать повторно - не помогло Помогите, пожалуйста. Машина на Windows 7 KSC - 15.1 Агент - 15.1

App Explorer - по-прежнему в списке установленных. Если не получается удалить стандартно, удалите принудительно через правую кнопку с помощью Geek Uninstaller Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKU\S-1-5-21-102457405-3801640905-1653260570-1002\...\MountPoints2: {33c76713-6c43-11ef-a46d-b00659623216} - "D:\HiSuiteDownLoader.exe" HKU\S-1-5-21-102457405-3801640905-1653260570-1002\...\MountPoints2: {acf9e8f9-4058-11ec-a3cc-1c697a7757f8} - "D:\HiSuiteDownLoader.exe" HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ Task: {034A2FCC-942A-4FE5-90F2-53816F67DEDA} - System32\Tasks\Avast Emergency Update => C:\Program Files\Avast Software\Avast\AvEmUpdate.exe (Нет файла) Task: {1C191254-BDE8-42F6-894E-35620E4623BE} - System32\Tasks\Norton Security\Norton Security Autofix => C:\Program Files\Norton Security\Engine\22.20.5.40\SymErr.exe /ui (Нет файла) Task: {08136DBE-4778-4C99-9172-BB95FCDE51BC} - System32\Tasks\Norton Security\Norton Security Error Analyzer => C:\Program Files\Norton Security\Engine\22.20.5.40\SymErr.exe /analyze (Нет файла) Task: {80FDA466-7D7D-49AD-BF82-CC742FB245B0} - System32\Tasks\Norton Security\Norton Security Error Processor => C:\Program Files\Norton Security\Engine\22.20.5.40\SymErr.exe /submit (Нет файла) Task: {AD03A97F-4C29-438A-92D2-F5D941EEA4EC} - System32\Tasks\NortonLifeLock Trial Agent V2 => "C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NLOKTrialAgentV2.exe" /scheduled (Нет файла) C:\Users\pk3\AppData\Local\Google\Chrome\User Data\Default\Extensions\amfgabfnnnaeeendcohljjlcglbgjmcl ContextMenuHandlers1: [NortonLifeLock.Norton.Antivirus.IEContextMenu] -> {FAD61B3D-699D-49B2-BE16-7F82CB4C59CA} => -> Нет файла ContextMenuHandlers2: [NortonLifeLock.Norton.Antivirus.IEContextMenu] -> {FAD61B3D-699D-49B2-BE16-7F82CB4C59CA} => -> Нет файла ContextMenuHandlers6: [NortonLifeLock.Norton.Antivirus.IEContextMenu] -> {FAD61B3D-699D-49B2-BE16-7F82CB4C59CA} => -> Нет файла FirewallRules: [{EE6B1BD8-8CD8-4359-87FC-9DDA02DBD0AD}] => (Allow) LPort=1521 FirewallRules: [{3C7DB8C4-EFDB-4B82-B2AE-05AC64540073}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [{E425A1A1-69FE-4AC2-BC5D-33A644F9E85B}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [{77E4CCAC-FCE6-415E-B193-A1BEE0729917}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\22.3.5096.64\installer\ceup.exe => Нет файла FirewallRules: [{D03F05A1-F693-4193-AB1F-76E9E3F5F666}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\22.3.5096.64\installer\ceup.exe => Нет файла FirewallRules: [{DBF4A17E-93A2-4FCB-A816-5C2538290771}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла FirewallRules: [{5476857A-6183-48CA-B32D-DB32244A17D6}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла FirewallRules: [{590720E4-8BE5-4CA7-A468-7B16C699CDC2}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\22.3.5096.64\installer\360mlupdate.exe => Нет файла FirewallRules: [{F6F370D8-EE2F-402E-9E41-3CC06A6983DE}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\22.3.5096.64\installer\360mlupdate.exe => Нет файла EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

по файлам: lucky_john.exe ESET-NOD32 A Variant Of Win32/Filecoder.Mimic.C Kaspersky HEUR:Trojan-Ransom.Win32.Mimic.gen DrWeb Trojan.Encoder.40979 https://www.virustotal.com/gui/file/45726c8e3c315c21e36dea3eb11ac966471466c4c271a75e98d76a65b1f43a02?nocache=1 По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\...\Run: [lucky_john.exe] => C:\Users\noname\AppData\Local\How-to-decrypt.txt [1454 2025-09-26] () [Файл не подписан] HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your PC. Policies: C:\Users\buh_cheb_1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_cheb_2\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_cheb_4\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_14\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_15\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_150\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_151\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_152\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_153\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_17\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_18\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_21\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_33\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_43\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_45\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_46\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_48\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_52\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_yar_1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_yola_2\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\slavin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\victor\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ 2025-09-26 04:36 - 2025-09-26 08:58 - 000001454 _____ C:\How-to-decrypt.txt 2025-09-26 04:36 - 2025-09-26 04:36 - 000000000 ____D C:\temp 2025-09-26 04:35 - 2025-09-26 04:35 - 000000000 ____D C:\Users\noname\WINDOWS 2025-09-26 04:34 - 2024-05-21 17:34 - 000128000 _____ C:\NS v.2.exe 2025-09-29 15:10 - 2024-02-05 13:24 - 000000000 __SHD C:\Users\noname\AppData\Local\51271509-366D-30C9-038E-A0FA16B1DDED Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Addition.txt FRST.txt

Нет, на некоторых только. На счет UDP портов проверю обязательно, Спасибо

Хорошо. Примите к сведению - Рекомендации после удаления вредоносного ПО

Вообще то FRST карантин все файлы, которые удаляются. Вот именно в это место. C:\FRST\Quarantine

Всё выполнили, больше такого ничего не выходило. Мониторил все выходные. Благодарю за помощь.

да уж, судя по логу KRD разворошили осинное гнездо. Имеет смысл прогнать еще в KVRT из нормального режима. детект Backdoor.Win32.DarkKomet.hqxy может быть так же связан с файловым заражением исполняемых файлов. После проверки в KVRT сделайте дополнительно логи FRST

Проблема массовая или только на некоторых хостах? Видимо со стороны сервера KSC до хоста не открыт UDP 15000.

Посмотрим такой лог: Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS). Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме. Подробнее читайте в руководстве Как подготовить лог UVS.

Программы удалил, но ссылка на инструкцию не открывается загрузилась, извините

Понятно. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО: Видны следы бывших установок антивирусов Avast и Norton. Очистите по соотв. инструкции - Чистка системы после некорректного удаления антивируса. После этого перезагрузите компьютер и соберите следующие логи: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.