Активность

Заявка на сертификат: - на 3 000 рублей – 4 500 клабов

SecurityCheck.txt

Файл Addition.txt из логов FRST тоже необходим.

Прикрепляю файлы (следующий шаг, возможно, сделаю ближе к вечеру, нужно отлучиться) 2025-09-16_10-17-09_log.txt FRST.zip

Друзья! На этот раз нас ждёт не просто виртуальное путешествие, а экспедиция в один из самых ярких фотоархивов интернета! Flickr Евгения Касперского - это цифровой дневник открытий, маршрутов и неожиданных находок, который хочется не просто листать, а разглядывать, ловить атмосферу каждой фотографии и мысленно добавлять новые точки на карту будущих путешествий. Готовы проверить свою внимательность? Запускаем викторину по Flickr Евгения Касперского! Здесь важны не столько знания, сколько ваше любопытство и наблюдательность. Настраиваем внимание на максимум и отправляемся в фотоэкспедицию! Пусть киберудача будет с вами! НАГРАЖДЕНИЕ Без ошибок — 1000 баллов Одна ошибка — 700 баллов Две ошибки — 400 баллов Баллами можно оплатить лицензии и сувениры в магазине Клуба. ПРАВИЛА ПРОВЕДЕНИЯ Викторина проводится до 20:00 21 сентября 2025 года (время московское). Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины. Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователям @zell и @alexandra (пользователя @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает. Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений. Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки. Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса. Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено. Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.

Не могу понять почему не создается архив с новыми логами

Downloads.7z прикрепил архив по вашим указаниям

Да. В завершение, пожалуйста: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратораЕсли увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению.

С расшифровкой файлов не сможем помочь по данному типу шифровальщика. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Удалил его через «приложения и возможности» Теперь компьютер наконец то без вирусов??)))

Отлично! В завершение, пожалуйста: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратораЕсли увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению.

Моя вина, не заметил, что в системе установлен Это вредоносное ПО, деинсталлируйте. Если не сможете стандартно, удалите принудительно с помощью Geek Uninstaller

По очистке системы в uVS: Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. ;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE hide %SystemDrive%\PROGRAM FILES\MUSEHUB\CURRENT\CLRJIT.DLL hide %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\MICROSOFT.YOURPHONE_1.25072.63.0_X64__8WEKYB3D8BBWE\CLRJIT.DLL ;------------------------autoscript--------------------------- delref %SystemDrive%\USERS\КОСТЯ\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\EXTENSIONS\HNDFJOGDCEACHKBGIOGLEHONPEJCDHEM\10.48_0\SAVEFROM.NET ПОМОЩНИК delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AMD.EXE delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\APPMODULE.EXE delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE delref %SystemDrive%\PROGRAMDATA delref %SystemDrive%\PROGRAM FILES\RDP WRAPPER delref %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE delref %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE delref %SystemRoot%\SYSWOW64\UNSECAPP.EXE delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKADAOHCKDKGHFACLHJMKMPLEBCDCNFNP%26INSTALLSOURCE%3DONDEMAND%26UC apply regt 27 regt 28 regt 29 deltmp delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\SKYVPN\SKYVPN.EXE delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\DRIVERS\VMBUSR.SYS delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref %Sys32%\DRIVERS\EAANTICHEAT.SYS delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY VPN 5.18\KSDE.EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\118.0.5993.71\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\118.0.5993.71\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\118.0.5993.71\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.116\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\USERS\КОСТЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.9.3.936\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ delref %SystemDrive%\USERS\КОСТЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.9.3.936\RESOURCES\YANDEX\BOOK_READER\BOOKREADER delref %SystemDrive%\USERS\КОСТЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.9.3.936\RESOURCES\OPERA_STORE\OPERA STORE delref %SystemDrive%\USERS\КОСТЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.9.3.936\RESOURCES\PDF\CHROMIUM PDF VIEWER delref %SystemDrive%\USERS\КОСТЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.9.3.936\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\117.0.2045.60\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.105\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\139.0.3405.86\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\PLANETVPN\PLANETVPN.EXE delref %SystemDrive%\PROGRAM FILES\BIAS FX 2 APPLICATION (64BIT)\BIAS FX 2_X64.EXE delref %SystemDrive%\USERS\КОСТЯ\APPDATA\LOCAL\PROGRAMS\POWERPOINT\POWERPOINTLAUNCHER.EXE ;------------------------------------------------------------- restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + добавьте новые логи FRST для контроля

Шанса нет? Fixlog.txt

При открытие этого файла детек срабатывает. Детектов не было или не успели увидит. Шифрование было ночью

Странно что не было детекта. Сэмпл видел в архиве, стандартный размер. Сэмпл стандартный, он детектируется в течение 2 лет. Консоль управления антивирусными агентами есть у вас? Есть инфо в консоли по детектам на узлах, или по отключению защиты? Не проверяли?

Была включена. зашифрованы и другие узла. Drweb тоже стоял. сэмпл шифровальщика приложен в 1 сообщении

Ясно. Судя по тому что KVRT нашел в корзине сэмпл шифровальщика <Event2 Action="Detect" Time="134024275544256319" Object="C:\$Recycle.Bin\S-1-5-21-130341685-3487650523-3890133209-1410\$RP16CU3.exe111" Info="HEUR:Trojan-Ransom.Win32.Generic" /> Drweb по идее тоже должен был его детектировать. (пока нет возможности выполнить анализ сэмпла, сделаю во второй половине дня, хотя анализ не поможет расшифровать файлы) Что произошло? Была отключена защита? Это единственный ПК который у вас пострадал, или зашифрованы и другие узлы в ЛС? + проверьте ЛС.

С Днём Рождения! С Юбилеем!

В файле только текст: Our Telegram for decrypt - @limes853 You can send some small test files to test our decryptor. You pay a few thousand USDT and we will provide you with a decryptor, detailed information about the cyberattack, backdoor and tips for future protection. DrWeb был KVRT2020_Data.rar

Записку о выкупе так же добавьте в виде файла. Хотя возможно в вашем случае она не формируется, тогда добавьте этот файл: (возможно в нем информация по условиям злоумышленников) 2025-09-15 02:08 - 2025-09-15 00:11 - 000000250 _____ C:\FOR ADMIN.README Добавьте так же отчеты по сканированию в KVRT, достаточно будет папки reports, в архиве, без пароля 2025-09-15 21:27 - 2025-09-15 21:51 - 000000000 ____D C:\KVRT2020_Data DrWeb был установлен на момент шифрования или после установили?

Ничего похожего на сэмпл шифровальщика нет, возможно был самоудален. По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ Startup: C:\Users\Developer_vnedrenie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\#README!.hta [2025-09-13] () [Файл не подписан] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\#README!.hta [2025-09-13] () [Файл не подписан] 2025-09-13 10:02 - 2025-09-13 10:02 - 002764854 _____ C:\ProgramData\@kind_ad.bmp 2025-09-13 09:17 - 2025-09-13 10:02 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker 2025-09-13 09:17 - 2025-09-13 10:02 - 000000000 ____D C:\ProgramData\IObit 2025-09-13 09:17 - 2025-09-13 10:02 - 000000000 ____D C:\Program Files (x86)\IObit Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Win 7 SP1 MSDN+ESU/Embedded POSReady/2008R2

При выборе любого сервера, в том числе российских, никуда не могу зайти, даже на .mail.ru: Не удается получить доступ к сайту Не удалось найти IP-адрес сервера e.mail.ru. Попробуйте сделать следующее: Проверьте подключение к Интернету. Checking the proxy, firewall, and Secure DNS configuration Выполните диагностику сети в Windows ERR_NAME_NOT_RESOLVED Пробовал DNS провайдера, Яндекса, Гугла с последующей очисткой кэша DNS. Что надо сделать? Не пользовался приложением пару лет, раньше работало нормально. Само приложение никаких ошибок не выдаёт

Искал я тут в Яндекс.Музыке что-нибудь из олдскульного зарубежного металкорчика послушать. И приложение сообщило о ближайшем концерте группы As I Lay Dying в Москве с предложением купить билеты (хотя я думал, что в последнее время мы сильно обделены концертами зарубежных исполнителей). Вдруг, кто-нибудь соскучился по чему-нибудь зарубежному? Даты концертов в трех городах: