Активность

App Explorer - по-прежнему в списке установленных. Если не получается удалить стандартно, удалите принудительно через правую кнопку с помощью Geek Uninstaller Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKU\S-1-5-21-102457405-3801640905-1653260570-1002\...\MountPoints2: {33c76713-6c43-11ef-a46d-b00659623216} - "D:\HiSuiteDownLoader.exe" HKU\S-1-5-21-102457405-3801640905-1653260570-1002\...\MountPoints2: {acf9e8f9-4058-11ec-a3cc-1c697a7757f8} - "D:\HiSuiteDownLoader.exe" HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ Task: {034A2FCC-942A-4FE5-90F2-53816F67DEDA} - System32\Tasks\Avast Emergency Update => C:\Program Files\Avast Software\Avast\AvEmUpdate.exe (Нет файла) Task: {1C191254-BDE8-42F6-894E-35620E4623BE} - System32\Tasks\Norton Security\Norton Security Autofix => C:\Program Files\Norton Security\Engine\22.20.5.40\SymErr.exe /ui (Нет файла) Task: {08136DBE-4778-4C99-9172-BB95FCDE51BC} - System32\Tasks\Norton Security\Norton Security Error Analyzer => C:\Program Files\Norton Security\Engine\22.20.5.40\SymErr.exe /analyze (Нет файла) Task: {80FDA466-7D7D-49AD-BF82-CC742FB245B0} - System32\Tasks\Norton Security\Norton Security Error Processor => C:\Program Files\Norton Security\Engine\22.20.5.40\SymErr.exe /submit (Нет файла) Task: {AD03A97F-4C29-438A-92D2-F5D941EEA4EC} - System32\Tasks\NortonLifeLock Trial Agent V2 => "C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NLOKTrialAgentV2.exe" /scheduled (Нет файла) C:\Users\pk3\AppData\Local\Google\Chrome\User Data\Default\Extensions\amfgabfnnnaeeendcohljjlcglbgjmcl ContextMenuHandlers1: [NortonLifeLock.Norton.Antivirus.IEContextMenu] -> {FAD61B3D-699D-49B2-BE16-7F82CB4C59CA} => -> Нет файла ContextMenuHandlers2: [NortonLifeLock.Norton.Antivirus.IEContextMenu] -> {FAD61B3D-699D-49B2-BE16-7F82CB4C59CA} => -> Нет файла ContextMenuHandlers6: [NortonLifeLock.Norton.Antivirus.IEContextMenu] -> {FAD61B3D-699D-49B2-BE16-7F82CB4C59CA} => -> Нет файла FirewallRules: [{EE6B1BD8-8CD8-4359-87FC-9DDA02DBD0AD}] => (Allow) LPort=1521 FirewallRules: [{3C7DB8C4-EFDB-4B82-B2AE-05AC64540073}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [{E425A1A1-69FE-4AC2-BC5D-33A644F9E85B}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [{77E4CCAC-FCE6-415E-B193-A1BEE0729917}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\22.3.5096.64\installer\ceup.exe => Нет файла FirewallRules: [{D03F05A1-F693-4193-AB1F-76E9E3F5F666}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\22.3.5096.64\installer\ceup.exe => Нет файла FirewallRules: [{DBF4A17E-93A2-4FCB-A816-5C2538290771}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла FirewallRules: [{5476857A-6183-48CA-B32D-DB32244A17D6}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла FirewallRules: [{590720E4-8BE5-4CA7-A468-7B16C699CDC2}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\22.3.5096.64\installer\360mlupdate.exe => Нет файла FirewallRules: [{F6F370D8-EE2F-402E-9E41-3CC06A6983DE}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\22.3.5096.64\installer\360mlupdate.exe => Нет файла EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

по файлам: lucky_john.exe ESET-NOD32 A Variant Of Win32/Filecoder.Mimic.C Kaspersky HEUR:Trojan-Ransom.Win32.Mimic.gen DrWeb Trojan.Encoder.40979 https://www.virustotal.com/gui/file/45726c8e3c315c21e36dea3eb11ac966471466c4c271a75e98d76a65b1f43a02?nocache=1 По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\...\Run: [lucky_john.exe] => C:\Users\noname\AppData\Local\How-to-decrypt.txt [1454 2025-09-26] () [Файл не подписан] HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your PC. Policies: C:\Users\buh_cheb_1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_cheb_2\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_cheb_4\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_14\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_15\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_150\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_151\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_152\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_153\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_17\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_18\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_21\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_33\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_43\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_45\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_46\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_48\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_52\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_yar_1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_yola_2\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\slavin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\victor\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ 2025-09-26 04:36 - 2025-09-26 08:58 - 000001454 _____ C:\How-to-decrypt.txt 2025-09-26 04:36 - 2025-09-26 04:36 - 000000000 ____D C:\temp 2025-09-26 04:35 - 2025-09-26 04:35 - 000000000 ____D C:\Users\noname\WINDOWS 2025-09-26 04:34 - 2024-05-21 17:34 - 000128000 _____ C:\NS v.2.exe 2025-09-29 15:10 - 2024-02-05 13:24 - 000000000 __SHD C:\Users\noname\AppData\Local\51271509-366D-30C9-038E-A0FA16B1DDED Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Addition.txt FRST.txt

Нет, на некоторых только. На счет UDP портов проверю обязательно, Спасибо

Хорошо. Примите к сведению - Рекомендации после удаления вредоносного ПО

Вообще то FRST карантин все файлы, которые удаляются. Вот именно в это место. C:\FRST\Quarantine

Всё выполнили, больше такого ничего не выходило. Мониторил все выходные. Благодарю за помощь.

да уж, судя по логу KRD разворошили осинное гнездо. Имеет смысл прогнать еще в KVRT из нормального режима. детект Backdoor.Win32.DarkKomet.hqxy может быть так же связан с файловым заражением исполняемых файлов. После проверки в KVRT сделайте дополнительно логи FRST

Проблема массовая или только на некоторых хостах? Видимо со стороны сервера KSC до хоста не открыт UDP 15000.

Посмотрим такой лог: Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS). Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме. Подробнее читайте в руководстве Как подготовить лог UVS.

Программы удалил, но ссылка на инструкцию не открывается загрузилась, извините

Понятно. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО: Видны следы бывших установок антивирусов Avast и Norton. Очистите по соотв. инструкции - Чистка системы после некорректного удаления антивируса. После этого перезагрузите компьютер и соберите следующие логи: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

услуга для тарифа с пакетом минут, для классического не подойдёт

Добрый день, твики из архива применил. Проблема не решена, сейчас заново установил антивирус - он снова ругается на папку и программу. Она каждые несколько минут появляется даже если руками удалить ее.

Да. Это пк бухгалтера, тут стоит парус бюджет, эти файлики к нему относятся

Файлы ваши?

Готово CollectionLog-2025.09.29-13.49.zip

Здравствуйте! Вы ведь знаете Порядок оформления запроса о помощи

активировал.

Добрый день. Снова прошу помощи в борьбе с каким то процессом, который не видит антивир, который редиректит пк на http://62.60.249.65:8081/ при открытии сайтов.

Прошу активировать мою учётную запись.

Пробывал все также Обновил все также

Система загрузилась, прогнали ещё раз FRST, отчет приложили. FRST.txt Addition.txt

Спасибо, должно помочь. А вот подскажите что делать если агент администрирование включен. Но KES выключен\включен на разных устройствах. но ошибка одна и таже, обновлены не все компоненты. Устройства где kes выключен их нельзя включить, кнопки запуска не активны.

https://support.kaspersky.ru/ksc/15.1/troubleshooting/other/12776?page=kb