Активность

это не перепишет не затронет сами файлы которые подверглись шифрованию ? Decrypt_KOZANOSTRA.txtи вот описание с актуальной машины

По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: 2025-07-05 13:15 - 2025-07-05 13:45 - 000000000 ____D C:\temp 2025-07-05 21:09 - 2024-07-10 15:58 - 000000000 __SHD C:\Users\user-office\AppData\Local\1D4F026E-DB59-647A-72D2-3763F22A75A1 Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

присылаю логи с правами от админа с актуального устройства , машина на win 7 Addition.zipFRST.txtAddition.txt

Кстати насчёт корпуса, думаю это не проблема. У меня есть знакомые, которые скупают бу по более низкой цене, аж целых 2

Ссылка есть на пошаговую инструкцию в строке сообщения. Обычно, все справляются с ней. Скачать - запустить программу - нажать кнопку "сканировать" - ждать пока завершится процесс сбора логов - полученные файлы FRST.txt и Addition.txt добавить в ваше сообщение.

Прикрепил логи дата_времяlog.txt, но не понял что значит новые логи frst, точнее не понял как пользоваться программой FRST 2025-07-07_13-47-00_log.txt

Очистка выполнена корректно. Если систему сканировали Курейт или KVRT, добавьте логи сканирования в архиве, без пароля

архив загружен, ссылка удалена Fixlog.txt

Здравствуйте! Упакуйте в архив. А также выполните в полном объеме Порядок оформления запроса о помощи

Логи FRST нужны из FRST под Администратором. Запущено с помощью Вера (ВНИМАНИЕ: Пользователь не является Администратором) на DESKTOP-BFA75JJ (Gigabyte Technology Co., Ltd. H410M H V3) (07-07-2025 11:31:09) Без прав админа вы не сможете выполнить скрипт очистки.

Словил на VM шифровальщик. GPT в deepsearch предположил, что это mimic ( N3ww4v3) - на основе проанализированных зашифрованных файлов и оставленной злоумышленниками записке. Зашифрованны базы данных. Бэкапов не было... Есть ли возможность дешифровать? Вот это оставили злоумышленники. Зашифрованный файл прикрепить не могу, форум ограничивает. Important_Notice.txt

По очистке системы Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. ;uVS v5.0.RC3.v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE hide %SystemDrive%\PROGRAM FILES\METATRADER 5\TERMINAL64.EXE ;------------------------autoscript--------------------------- delall %SystemDrive%\PROGRAM FILES\LDPLAYER9BOX\LD9BOXSUP.SYS delall %SystemDrive%\PROGRAM FILES (X86)\VELKAMEBPIE\TS5GHDKOQ.DLL delref WIN_MEDIAGET.COM delref HTTPS://FIND-IT.PRO/?UTM_SOURCE=DISTR_M delref HTTP://SEARCH-CDN.NET/FIP/?Q={SEARCHTERMS} delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNNLJJFDCHFGODFGCGBCDAEDIMAKJEJJE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC delall %SystemDrive%\PROGRAM FILES (X86)\UAOYJBNQSYAJSBFVLFR\ANNIXUG.DLL delall %SystemDrive%\PROGRAM FILES (X86)\YTRCIEIBRVQMC\LBURIKQ.DLL delall %SystemDrive%\PROGRAM FILES (X86)\YHYUOVVYU\YLLUBS.DLL apply regt 27 regt 28 regt 29 deltmp delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\CUSTOMRP\CUSTOMRP.EXE delref %SystemDrive%\PROGRAM FILES\RAINMETER\RAINMETER.EXE delref D:\НОВАЯ ПАПКА\VOICEAI.EXE delref %SystemRoot%\TEMP\HZVSIKFQJBMCEAQZ\DVITHKWLSDFOXDT\BIGYJNM.EXE delref %SystemDrive%\PROGRAM FILES (X86)\SKILLBRAINS\UPDATER\UPDATER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\22.9.1.1095\SERVICE_UPDATE.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MAIL.RU\ATOM\APPLICATION\EVENTER.EXE delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE15\OLICENSEHEARTBEAT.EXE delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA GX\LAUNCHER.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA GX\AUTOUPDATE\OPERA_AUTOUPDATE.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA\AUTOUPDATE\OPERA_AUTOUPDATE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\VELKAMEBPIE\KDKXFTFG1.DLL delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref {AE81D5A2-A34B-4D93-8DF8-540DBCE48043}\[CLSID] delref {AE776072-9FCA-48AF-941C-5759266BB644}\[CLSID] delref {0F574355-9FBE-40DB-ACB8-81F6612BB909}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\BANDIMPEG1\BDFILTERS64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\BANDIMPEG1\BDFILTERS.DLL delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID] delref %Sys32%\DRIVERS\VMBUSR.SYS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\89.0.774.68\MSEDGE.DLL delref %Sys32%\PWCREATOR.EXE delref D:\NODE.EXE delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref %SystemDrive%\PROGRAM FILES\CYBERGHOST 8\DASHBOARD.SERVICE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\EPIC GAMES\LAUNCHER\PORTAL\BINARIES\WIN64\EPICGAMESUPDATER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\EPIC GAMES\EPIC ONLINE SERVICES\SERVICE\EPICONLINESERVICESHOST.EXE delref %SystemDrive%\PROGRAMDATA\EQU8\TOTALLY ACCURATE BATTLEGROUNDS\BIN\ANTICHEAT.X64.EQU8.EXE delref %SystemDrive%\USERS\USER\DESKTOP\МОИ СВЕГ ПЕСНИ\FREEVPN\FREEVPN.EXE delref %SystemDrive%\PROGRAM FILES (X86)\LOGMEIN HAMACHI\X64\HAMACHI-2.EXE delref %SystemDrive%\PROGRAM FILES\HITMANPRO\HMPSCHED.EXE delref %SystemDrive%\PROGRAMDATA\KASPERSKY LAB\AVP21.21\BASES\KLIDS.SYS delref %SystemDrive%\PROGRAM FILES (X86)\LOGMEIN HAMACHI\X64\LMIGUARDIANSVC.EXE delref %SystemDrive%\USERS\USER\MEDIAGET2\LUMINATI-M\NET_UPDATER32.EXE delref F:\VPN\V3.0.5\PROTONVPNSERVICE.EXE delref F:\VPN\V3.0.5\RESOURCES\PROTONVPN.CALLOUTDRIVER.SYS delref %SystemDrive%\PROGRAM FILES\ROCKSTAR GAMES\LAUNCHER\ROCKSTARSERVICE.EXE delref %SystemDrive%\PROGRAM FILES\TEAMVIEWER\TEAMVIEWER_SERVICE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\TURBOVPN\TURBO_VPN-SERVICE.EXE delref %SystemDrive%\PROGRAM FILES\RIOT VANGUARD\VGC.EXE delref %SystemDrive%\PROGRAM FILES\RIOT VANGUARD\VGK.SYS delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\87.0.4280.66\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\87.0.4280.66\RESOURCES\FEEDBACK\ОТЗЫВ delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\87.0.4280.66\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\87.0.4280.66\RESOURCES\CLOUD_PRINT\CLOUD PRINT delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\87.0.4280.66\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\87.0.4280.66\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.89\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.61\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.61\RESOURCES\FEEDBACK\ОТЗЫВ delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.61\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.61\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.61\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\132.0.6834.111\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.71\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.71\RESOURCES\FEEDBACK\ОТЗЫВ delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.71\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.71\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.71\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.114\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\116.0.5845.111\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\107.0.5304.88\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.1.1.928\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.12.0.966\RESOURCES\YANDEX\BOOK_READER\BOOKREADER delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.12.0.966\RESOURCES\OPERA_STORE\OPERA STORE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.12.0.966\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.12.0.966\RESOURCES\PDF\CHROMIUM PDF VIEWER delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.0.2947\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\21.5.1.330\RESOURCES\YANDEX\BOOK_READER\BOOKREADER delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\21.5.1.330\RESOURCES\OPERA_STORE\OPERA STORE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\21.5.1.330\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\21.5.1.330\RESOURCES\PDF\CHROMIUM PDF VIEWER delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.1.0.2571\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.11.3.966\RESOURCES\YANDEX\BOOK_READER\BOOKREADER delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.11.3.966\RESOURCES\OPERA_STORE\OPERA STORE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.11.3.966\RESOURCES\PDF\CHROMIUM PDF VIEWER delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.11.3.966\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\117.0.2045.60\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.62\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.92\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\124.0.2478.51\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION delref G:\HISUITEDOWNLOADER.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MAIL.RU\ATOM\APPLICATION\ATOM.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA GX\OPERA.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA\OPERA.EXE delref %SystemDrive%\USERS\USER\DESKTOP\МОИ СВЕГ ПЕСНИ\ASIO4ALL V2\ASIO4ALL WEB SITE.URL delref D:\FL STUDIOO\FL64.EXE delref D:\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE delref D:\LDPLAYER\LDPLAYER9\DNPLAYER.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\NEW TECHNOLOGY STUDIO\APPS\OPENIV\OPENIV.EXE delref %SystemDrive%\PROGRAMDATA\ABLETON\LIVE 11 TRIAL\PROGRAM\ABLETON LIVE 11 TRIAL.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\BLUESTACKS-SERVICES\BLUESTACKSSERVICES.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\BLUESTACKS\BLUESTACKSLAUNCHER.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\DOTA2MODS\DOTA2MODS V4.EXE delref D:\EXBO\JAVA\BIN\EXBOLAUNCHER.EXE delref D:\FL STUDIO\FLSTUDIOTLAUNCHER.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\IGROUTKA-BROWSER\IGROUTKA-BROWSER.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\MECHA-KEYS\MECHAKEYS.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\OSU!\OSU!.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PLAY MACHINE\VKAPP.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\TORTUGA GAME CLUB\TORTUGA GAME CLUB.EXE delref %SystemDrive%\USERS\USER\DESKTOP\МОИ СВЕГ ПЕСНИ\ASIO4ALL V2\UNINSTALL.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\CHIA-BLOCKCHAIN\CHIA.EXE delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\CUSTOMRP\UNINS000.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\FLAUNCHER\FLAUNCHER.EXE delref %SystemDrive%\PROGRAM FILES\HIDEMY.NAME VPN 2.0\APP.EXE delref D:\HOYOPLAY\LAUNCHER.EXE delref D:\HOYOPLAY\UNINSTALL.EXE delref %SystemDrive%\LDPLAYER\LDPLAYER4.0\DNPLAYER.EXE delref %SystemDrive%\LDPLAYER\LDPLAYER4.0\DNUNINST.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON311\PYTHONW.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON311\LIB\IDLELIB\IDLE.PYW delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON311\PYTHON.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON312\PYTHONW.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON312\LIB\IDLELIB\IDLE.PYW delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON312\PYTHON.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON39\PYTHON.EXE delref D:\RADMIR LAUNCHER\RADMIR_LAUNCHER.EXE delref D:\RADMIR LAUNCHER\UNINSTALL.EXE delref %SystemDrive%\PROGRAM FILES\ROCKSTAR GAMES\LAUNCHER\LAUNCHERPATCHER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\STEAM\STEAM.EXE delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\VK CALLS\BIN\VKCALLS.EXE delref D:\GDPS 2.2 PC V1.7.1\DEFAULT SETTINGS PATCHER.EXE delref D:\GDPS 2.2 PC V1.7.1\GDPS-2.2-BY-USER666.EXE delref D:\GAMES\ALAWAR.RU\MASYANYA.4-IN-1\BUNDLE.EXE delref D:\GAMES\ALAWAR.RU\MASYANYA.4-IN-1\UNINSTALL.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ALAWAR\ДЕТСКИЙ САДИК\KINDERGARTEN_RUSSIAN.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ALAWAR\РОЖДЕСТВЕНСКИЕ ИСТОРИИ. ЩЕЛКУНЧИК. КОЛЛЕКЦИОННОЕ ИЗДАНИЕ\CHRISTMASSTORIES_NUTCRACKERCE.EXE delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\NEVOSOFT.GAMES\DRM.EXE delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\МОВАВИКА ВИДЕО 25\VIDEOEDITOR.EXE delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\МОВАВИКА ВИДЕО 25\МОВАВИКА ВИДЕО 25.URL delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\МОВАВИКА ВИДЕО 25\UNINST.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ОСТРОВ. ЗАТЕРЯННЫЕ В ОКЕАНЕ\THEISLAND.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ОСТРОВ. ЗАТЕРЯННЫЕ В ОКЕАНЕ\DOWNLOAD MORE GAMES.URL delref %SystemDrive%\PROGRAM FILES (X86)\ОСТРОВ. ЗАТЕРЯННЫЕ В ОКЕАНЕ\UNINSTALL.EXE delref D:\VOICEMOD V3\VOICEMOD.EXE delref D:\VOICEMOD DESKTOP\VOICEMODDESKTOP.EXE delref D:\НОВАЯ ПАПКА\NETMARBLE LAUNCHER\NETMARBLE LAUNCHER.EXE ;------------------------------------------------------------- restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + добавьте новые логи FRST для контроля

Если кто-то дошёл до 15-го вопроса без подсказок и застрял на нём, не торопитесь выбивать подсказки, есть ещё целые сутки, чтобы додуматься самостоятельно. Правильная мысль может прийти в любой момент.

Жаль. Проблема такая же как у ТС в этом обсуждении. Есть консоль ksc Version: 15.1.0.20748. На объектах (виртуальные машины с ОС windows server 2012 R2) стояла версия антивируса Kaspersky Security для виртуальных сред 5.2 Легкий агент для Windows, делал переустановку на версию Kaspersky Endpoint Security для Windows (12.8.0). Объекты попали в группу "Управляемые устройства" и не переносятся в нужную подгруппу. Мои действия ни к чему не привели: 1. Удаление кэша консоли 2. Перезагрузка сервера KSC 3. Удалял объекты, добавлял заново (с клиента через klnagchk.exe -sendhb) Автосортировка тоже не помогла.

Если Fixlog.txt был создан, значит скрипт выполнился, + проверьте создана папка C:\FRST\Quarantine или нет. (Перезагрузку системы, сами сделаете, когда будет удобно.)

@PavelKl, "та история" была год назад, поэтому по ней вам уже никто не ответит. Будет лучше если вы подробно изложите вашу проблему.

Доброго дня! Подскажите, чем то история с переносом объектов в группу закончилась, удачно? А то у меня точно такая же ситуация. Но информации толком нигде нет.

DESKTOP-GUOULEI_2025-07-07_11-29-15_v5.0.RC3.v x64.7z

Извеняюсь что дал не полную инфу машина виртуальная hyper-v. При копировании скрипта в корне диска создается файл но ребута нет так как и в пуске нет и cmd этого не делает. Как быть в такой ситуации?

Заархивируйте и прикрепите к сообщению.

прикрепляю файлы логи.zip

Извините но пишет что файл больше 5МБ, если конечно вам нужно скинуть этот файл .txt , за то оно пропускает WinRar вместе с этим текстовым файлом, подскажите что делать

По очистке системы: По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ 2025-07-05 11:53 - 2025-07-05 11:53 - 000000986 _____ C:\Decrypt_KOZANOSTRA.txt 2025-07-07 08:15 - 2023-10-06 19:09 - 000000000 __SHD C:\Users\Kassa\AppData\Local\26330E46-1A0C-AC35-CFEA-B8F30E2ACC7F 2025-07-05 11:53 - 2025-07-05 11:53 - 000000000 ____D C:\temp Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении. End::

увидел сегодня на одной из удаленных машин сетевой ярлык зашифрованный KOZANOSTRA. плюс заражены все файлы nas Addition.txt FRST.txt Shortcut.txt письмо.txt.rar файлы.rar Сообщение от модератора thyrex Темы объединены

Добавьте, так же логи FRST (FRST.txt, Addition.txt)+ записку о выкупе.