Активность

2025-09-21_13-09-24_log.txt скажите пожалуйста в чем было дело или в какой программе поймал. во избежание таких ситуаций в будущем может есть сатик или список где безопасно можно все скачивать? Addition.txt FRST.txt

ссылка на карантин FRST: https://disk.yandex.ru/d/6saLJMXZTW2apg Fixlog.txt На всякий случай еще одна ссылка: https://disk.yandex.ru/d/cYexjtqi5HUncw

По очистке системы: По очистке системы: Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. ;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv11.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delref HTTPS://CLIENTS2.GOOGLE.COM/CR/REPORT delref %SystemDrive%\PROGRAMDATA delref %SystemDrive%\USERS delref %SystemRoot% delref %SystemDrive%\USERS\KIRIL\APPDATA\LOCAL\XV1ZXMK5MD apply ; Bonjour exec MsiExec.exe /X{56DDDFB8-7F79-4480-89D5-25E1F52AB28F} /quiet deltmp delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref {8702A841-D5CA-47C3-812D-9CEDC304C200}\[CLSID] delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemDrive%\PROGRAM FILES\TEAMS INSTALLER\TEAMS.EXE delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %SystemDrive%\USERS\0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\22.012.0117.0003\I386\FILESYNCSHELL.DLL delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.101\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.101\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.101\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.101\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\138.0.3351.83\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\138.0.3351.83\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\138.0.3351.83\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\138.0.3351.83\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\138.0.3351.83\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\138.0.3351.83\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\138.0.3351.83\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\138.0.3351.83\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\138.0.3351.83\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\139.0.3405.86\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION delref %SystemDrive%\USERS\KIRIL\APPDATA\LOCAL\SQUIRRELTEMP\UPDATE.EXE ;------------------------------------------------------------- restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + добавьте новые логи FRST для контроля

По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\...\Run: [svhost.exe] => C:\Users\Кирилл\AppData\Local\Decrypt_UVE.txt [975 2025-09-15] () [Файл не подписан] HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ 2025-09-16 09:08 - 2022-06-13 07:42 - 000000000 __SHD C:\Users\Кирилл\AppData\Local\28B04320-3169-792D-9126-537F02F1B84D Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Decrypt_UVE.txt ЗашифрованныеФайлы.zip Здравия! Отправляю зашифрованные файлы в архиве и текстовый от вымогателей. Логи анализа системы при помощи Farbar Recovery Scan Tool Addition.txt FRST.txt

KIRILL_2025-09-21_10-56-26_v5.0.1v x64.7z

Порядок оформления запроса о помощи

Здравия! Зашифрованы данные: Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours) Your data is encrypted by UVE Your decryption ID is BNTfl0HlszCcO2lxtK5ner4yJ4hsCRXClGUs1cHPyBw*uve-BNTfl0HlszCcO2lxtK5ner4yJ4hsCRXClGUs1cHPyBw Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted The only method of recovering files is to purchase decrypt tool and unique key for you. If you want to recover your files, write us 1) eMail - cristi@mailum.com 2) Telegram - @cristi025 or https://t.me/cristi025 Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software - it may cause permanent data loss. We are always ready to cooperate and find the best way to solve your problem. The faster you write - the more favorable conditions will be for you. Помогите расшифровать!

просьба не цитировать. В этом нет необходимости, просто пишите свой ответ. + добавьте отчет о проверки из папки с KRD. в архиве, без пароля. 2025-09-21 02:19 - 2025-09-21 11:16 - 000000000 ____D C:\KRD2024_Data сэмпл, который был запущен из папки x64-Release, действительно заражен Neshta, ESET-NOD32 Win32/Neshta.A DrWebWin32.HLLP.Neshta Kaspersky Virus.Win32.Neshta.a https://www.virustotal.com/gui/file/b590495f5819d947fdac45ba8198e59643d858055c4b482d9c54f9d7055447e5 и в первую очередь антивирусы реагтруют на него. Тот что был в автозапуске - это уже файл шифровальщика. --------- По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Start:: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\...\Policies\system: [legalnoticecaption] Encrypted by trust HKLM\...\Policies\system: [legalnoticetext] Email us for recovery: reopening2025@gmail.com HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ 2025-09-20 20:51 - 2025-09-20 20:51 - 000403679 _____ C:\Users\User\Desktop\x64-Release.7z 2025-09-07 22:15 - 2025-09-21 10:59 - 000000000 ____D C:\Users\User\Desktop\masScan_1.6 2025-09-07 22:13 - 2025-09-07 22:13 - 007987254 _____ C:\ProgramData\45185400DDB72424C6B59F6EBB230948.bmp 2025-09-07 13:34 - 2025-09-21 02:32 - 000000000 ____D C:\Program Files\RDP Wrapper Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Файл во вложении Сделал. Действительно сидел вирус Neshta. На всякий случай сохранил лог и карантин. Нужно прикладывать? Файлы во вложении. x64-Release.7z Addition.txt FRST.txt

С Днём Рождения!

По возможности исправьте: Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Malwarebytes version 5.3.8.212 v.5.3.8.212 Внимание! Скачать обновления Notepad++ (64-bit x64) v.8.7 Внимание! Скачать обновления Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления WinRAR 7.01 (64-разрядная) v.7.01.0 Внимание! Скачать обновления Yandex v.25.8.2.904 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ ---------------------------- [ UnwantedApps ] ----------------------------- CCleaner v.6.31 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы. Ace Stream Media 3.2.8 v.3.2.8 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция. На этом закончим.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

добавьте, пожалуйста, отчет по обнаружениям и сканированию из Касперского + дополнительно сделайте образ автозапуска системы в uVS с отслеживанием процессов и задач. Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса. 1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог. 2. запустите из каталога с модулями uVS файл Start.exe (для Vista, W7- W11 выберите запуск от имени Администратора) 3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора) 3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4 Если запросили образ автозапуска с отслеживанием процессов и задач: В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. 4. Далее, меню "Файл" / Сохранить Полный образ автозапуска. 5. Дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. vitalikkontr (47)Lyaksandr (56)ARTEM (31)oberst (62)

Здравствуйте, все сделал. Прикрепляю новые логи CollectionLog-2025.09.20-23.30.zip

SecurityCheck.txt

прикреплю все требования к посту в течение 5 минут, в прошлый раз тирекс мне очень помог!

Порог с роскошным названием "Тыкдыльпень". Уже рассказывал, что в "среднюю воду" он просто роскошно выглядит, но совершенно не опасен. А вот у нас получилась "большая вода". Порог этот стал совершенно не ласковый.. Но к лешему все эти подробности, наши Рулевые приняли решение - идти! Но вода там просто адская.. Мы построились в колонну, чтобы подстраховать - если потребуется. Ну, и пошли: Ух, это было реально страшновато. А дальше - расслабуха! Всё! Приехали. И огромный большой спасиб компании "Алтай-Гид" https://www.altai-guide.ru за всё с нами содеянное. Рекламирую! Они - ой, молодцы! И не только по Алтаю, но и много по другим направлениям. Кликайте на сайт, удивляйтесь. А на прощальном ужине я всех поверх в шок и трепет - я туда пришёл... в пиджаке! Пиджак! - никто вообще не предвещал такого. Но секрет простой. Я же перед Алтаем был в Красноярске (и на промышленных объектах) - и там на всякий случай у меня с собой был именно этот пиджак. А куда я полетел из Красноярска с этим самым пиджаком? - однозначно на Алтай! Вот и вся интрига.

такая вот проблема слышу ноут гудит захожу в диспетчер задач там само собой все тихо, а вот в приложухе амд показывает видюха надрывается и процессор нагружен, как только открываю диспетчер все утихает, как закрываю опять гудит! очень сильно прошу помочь могущественных работников данного форума, когда то очень помогли! спасибо ноут honor magicbook 16 plus винда 11

Новый день - новые краски. Погодка держит своё! Река-Катунь - это просто красиво! Смотрите сами: О! Мост. Значит, цивилизация всё ближе и ближе.. Река Чуя (приток Катуни), порог "Горизонт" -> И кому что не понравилось??

Далее чуть немного - просто бытовые заметки. Да, у нас была чугунная скороварка. Как яблоко повисло в невесомости - я пока не разгадал.. Что было в кружке? Наверняка, уже ничего Колбасное дерево! - удивился я. Это просто совершаются бэкапные действия: И наоборот: Дерево - огогой! Тссс! Все - спят.. Это уже другой день! Некоторые - что-то несут. А другие - стоят. И ждут навески тента. Но всем за всё это безобразие иногда выдают мороженку :) После восьми(!) дней детокса нам впервые случайно вверху где-то в холмах дали тончайший поток интернета.. Мне умудрилось сесть на камень-муравейник, но я терпел! Ибо, любопытно - а что там в мире творится чудесатится?

Сплав почти от самых истоков Катуни до самых нижних порогов - это просто волшебная история! Было у меня такое уже три раза, надеюсь на повторение. Верховья Катуни, порог "Щёки" - А дальше - расслабон и медитация на несколько дней.. Даже сап есть! Красотищо! Но иногда мокрит.. С вертолёта: серый Аргут впадает в бирюзовую Катунь - Аккемский прорыв, начало: Сап-обранка = "сапобранка"

"Пешка" завершена, перелетаем на "речку" - Почему "речка" в кавычках? - да просто потому, что это одна из самых уважаемых рек России - госпожа Катунь!