Активность

607 - следующая. 6!/(0!+7) = 90 not "010" - многовато будет.. Других полезных выражений не вижу. Ну, по традиции: 6070 <= "6071" 6071 60/(7-1) = 10, 6!/(0!+7)+1 = 91 not "02,09,10" =17. 6072 6-0!+7-2 = 10, (6-0!)!-7*2 = 106, 6*(0!+7^2) = 300 not "02,03,06,10" =6. 6073 <= "6076" 6074 <= "6021" 6075 6-(0*7)!+5 = 10, -6 +/-/* 0!-7+5! = 106,107,108 not "02,06,07,08,10" =2. 6076 60+7*6 = 102, 6!/(0!+7!/6!) = 90, (6-0!)!-7-6 = 107, (6+0!)*(7+6) = 91 not "02,07,09,10" =8. 6077 607-7 = 600, 60+7*7 = 109, (6+0!)*(7+7) = 98, 6!/V((0!+7)*8) = 90 not "02,06,09,10" =6. // "09" не требуется. 6078 -6+0!+7+8 = 10, (6-0!)!-7-8 = 105 not "02,05,10" =19. 6079 <= "6073" Всего = 58. 607106 607556 607807 607107 607567 607808 607117 607817 607156 607656 607818 607158 607658 607836 607160 607665 607856 607161 607666 607865 607165 607667 607866 607166 607678 607867 607167 607685 607870 607170 607687 607871 607171 607876 607176 607756 607877 607177 607767 607878 607178 607776 607880 607185 607777 607881 607187 607778 607885 607787 607887 607256 607896 607267 607276 607277 607278 607287

Точно! И полное решение выглядит вот так -> (красным выделены конкатенации '6', которые надо пересчитать для '3' и '9') 601xxx.xods

Хорошо. В завершение, пожалуйста: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратораЕсли увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению.

Добавьте, пожалуйста, найденный файл Stub.exe. в архиве, с паролем virus Добавьте, пожалуйста, найденный файл Stub.exe. в архиве, с паролем virus + Добавьте отчет из KES с обнаружением Stub.exe

Саоме большое тут наверно только из-за ...3|6|9. Их оптимизировать не получилось. А вот тут можно сделать вот так: (6-0!)-14 = 106. и тогда превращается в "не-02-05-06" = 6 штук. 56 67 76 77 78 87 601456 601467 601476 601477 601478 601487 6014 6+0*1+4=10, 60/(-1+4) = 20 not "02,05,10" =19.

Проверил, угрозы активатора и всё

Здравствуйте. На сервере ночью шифровальщиком были зашифрованы все файлы. Вероятно попали через RDP. С помощью Kaspersky Endpoint Security 12 был пойман Stub.exe. Прошу подсказать, есть ли вариант восстановить данные. Addition.zip Files.zip FRST.zip

Это единственный ПК, который пострадал от шифрования? Если был найден сэмпл шифровальщика добавьте файл в архиве с паролем virus Если систему сканировали KVRT, Cureit или штатным антивирусом добавьте отчеты сканирования в архиве, без пароля.

Дважды не нужно было выполнять скрипт, отчёт был перезаписан. Но не страшно. Сделайте ещё раз полное сканирование Cureit, а также KVRT. Сообщите будут ли обнаружения.

Отправил архив и фикслог по почте Пароль к архиву указал в ЛС вам

Наберитесь терпения и дождитесь ответа. Консультанты - не сотрудники компании, а обычные пользователи (конечно, специально обученные и подготовленные). Отвечают в свободное время.

Логи Логи.rar

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Упакуйте его ещё раз с другим паролем, который передайте мне личным сообщением. Это тоже, пожалуйста.

Может кто ответить или помочь?

Отправить не могу На почте яндекса и мейла пишет о том, что "в письме возможно вирус" и не отправляет его соответственно обязательно ли в теле письма указывать "virus" ?

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKLM\Software\Policies\...\system: [DisableAcrylicBackgroundOnLogon] 1 HKLM\Software\Policies\...\system: [EnableSmartScreen] 0 <==== ВНИМАНИЕ HKU\S-1-5-21-4271332285-611751615-1068854009-1001\...\Run: [Firefox Browser] => C:\Firefox\X-Firefox.exe (Нет файла) 2026-01-14 10:22 - 2026-01-14 10:22 - 000000000 ____H C:\Users\ONH\888d8d8d88d.txt 2026-01-14 10:14 - 2026-01-14 10:14 - 000081920 ___RH C:\Users\ONH\syscfgvhost.exe 2026-01-14 10:14 - 2026-01-14 10:14 - 000000000 ____H C:\Users\ONH\AppData\Roaming\windrx.txt 2026-01-14 10:13 - 2026-01-16 12:42 - 000000284 ____H C:\Users\ONH\tbtcmds.dat 2026-01-14 09:18 - 2026-01-27 14:02 - 000004096 ____H C:\Users\ONH\tbtnds.dat 2026-01-14 09:17 - 2026-01-27 15:52 - 000000000 ____D C:\Users\ONH\AppData\Roaming\RAC 2026-01-14 09:17 - 2025-08-28 17:16 - 000081408 ___RH C:\Users\ONH\syskravbnr.exe Folder: C:\Users\ONH\winmgr FirewallRules: [{28AE744B-E1B1-4A77-82B1-5C57D047653E}] => (Allow) C:\Users\ONH\AppData\Local\Temp\DriverPack-20251003110015\tools\aria2c.exe => Нет файла FirewallRules: [{AE8B5BD3-1518-482C-B892-29F41181620A}] => (Allow) C:\Users\ONH\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла FirewallRules: [{58F8B688-BACC-42D3-9524-C89DF2D5DA18}] => (Allow) C:\Users\ONH\AppData\Local\360extremebrowser\Chrome\Application\22.3.5116.64\installer\ceup.exe => Нет файла FirewallRules: [{FB8813E2-B6D1-4D9B-BBE3-2E3ABF954AC8}] => (Allow) C:\Users\ONH\AppData\Local\360extremebrowser\Chrome\Application\22.3.5116.64\installer\ceup.exe => Нет файла FirewallRules: [{EBDA9B10-6552-4329-A342-3AE0979FCC96}] => (Allow) C:\Users\ONH\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла FirewallRules: [{517A8689-5441-4DE0-B3FA-91A79B9AAA4C}] => (Allow) C:\Users\ONH\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла FirewallRules: [{EF7C4282-A075-41B3-A948-30F65A6814B2}] => (Allow) C:\Users\ONH\AppData\Local\360extremebrowser\Chrome\Application\22.3.5116.64\installer\360mlupdate.exe => Нет файла FirewallRules: [{B31358A3-5F9A-4C60-97B3-CE972ADE7E8C}] => (Allow) C:\Users\ONH\AppData\Local\360extremebrowser\Chrome\Application\22.3.5116.64\installer\360mlupdate.exe => Нет файла FirewallRules: [TCP Query User{3561F1B2-13EC-4CC4-A0FA-90F8EB897746}C:\users\onh\syskravbnr.exe] => (Block) C:\users\onh\syskravbnr.exe () [Файл не подписан] FirewallRules: [UDP Query User{9538476F-7E04-42F7-8240-D71778461B76}C:\users\onh\syskravbnr.exe] => (Block) C:\users\onh\syskravbnr.exe () [Файл не подписан] FirewallRules: [TCP Query User{6401A299-07C1-4000-B334-031515B3435B}C:\users\onh\syscfgvhost.exe] => (Block) C:\users\onh\syscfgvhost.exe () [Файл не подписан] FirewallRules: [UDP Query User{A1224FAB-1AFC-4008-BCCA-428C17F9B744}C:\users\onh\syscfgvhost.exe] => (Block) C:\users\onh\syscfgvhost.exe () [Файл не подписан] FirewallRules: [TCP Query User{B7A63D67-3ED9-4313-B967-BD6384A6960B}C:\users\onh\syscrovhost.exe] => (Block) C:\users\onh\syscrovhost.exe => Нет файла FirewallRules: [UDP Query User{36F67F13-37DD-4EA5-9E52-BDF55E4342F3}C:\users\onh\syscrovhost.exe] => (Block) C:\users\onh\syscrovhost.exe => Нет файла Zip: c:\FRST\Quarantine\ EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. На рабочем столе появится архив Date_Time.zip (Дата_Время) Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Всё получилось. Прикрепляю файлы отчетов FRST.txt Addition.txt

Хорошо, файл проверю немного позже. Детект файлв шифровальщика https://www.virustotal.com/gui/file/356527c22117facbe136ab2e285d5020334cbe1e89fddafd9236dcc169234749?nocache=1 Для дополнительного анализа проверьте ЛС. С расшифровкой файлов по данному типу не сможем помочь. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

virus.zip

В крайнем случае запускайте в безопасном режиме.

Написано ведь было: Переименуйте файл на расширение *.vexe, добавьте восстановленный файл в архив с паролем virus, загрузите архив в ваше сообщение. А вы просто архив переименовали. Пробуйте еще раз сделать архив с паролем.

нет

Пароль установили к архиву? Восстановленный файл удалите.

вот он