Активность

прошу прощения, я не понял, куда нужно вставить код из 1 пункта?

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: HKU\S-1-5-21-2045102813-983716603-676509332-1001\...\Run: [utweb] => "C:\Users\LZRD\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (Нет файла) HKU\S-1-5-21-2045102813-983716603-676509332-1001\...\Run: [AdobeBridge] => [X] ProxyEnable: [S-1-5-21-2045102813-983716603-676509332-1001] => Proxy включён ProxyServer: [S-1-5-21-2045102813-983716603-676509332-1001] => hxxp://127.0.0.1:12334 ManualProxies: 1hxxp://127.0.0.1:12334 <==== ВНИМАНИЕ AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjmhlim [0] FirewallRules: [TCP Query User{BFB563ED-1058-4A4E-B651-96C808F7D20B}C:\programdata\cacservice\cacservices.exe] => (Block) C:\programdata\cacservice\cacservices.exe => Нет файла FirewallRules: [UDP Query User{B81E692E-6814-49B6-8684-2A1E870601B1}C:\programdata\cacservice\cacservices.exe] => (Block) C:\programdata\cacservice\cacservices.exe => Нет файла FirewallRules: [{3d7b1308-5a15-48fb-aab5-13916f954708}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла FirewallRules: [{4b4b42f7-aa92-4034-b412-8721afaed7d6}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла StartPowershell: Remove-MpPreference -ExclusionProcess "powershell.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\CACService" EndPowerShell: Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.

По возможности исправьте: Discord v.1.0.9174 Внимание! Скачать обновления Google Chrome v.139.0.7258.155 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О браузере Google Chrome!^ ---------------------------- [ UnwantedApps ] ----------------------------- UTorrent Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция.

Здравствуйте. Загрузитесь в безопасном режиме. Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\ProgramData\ilshobhutifb\zfflnfqvpeqe.exe',''); SetServiceStart('AJHPRIQD', 4); DeleteService('AJHPRIQD'); DeleteFile('C:\ProgramData\ilshobhutifb\zfflnfqvpeqe.exe','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(9); RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Загрузитесь в обычном режиме. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end.Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Попробуй разрешить показ поверх других приложений в системных настройках

Спасибо за помощь - терпение есть:) В ближайший час плотно займусь

Порядок оформления запроса о помощи

Здравствуйте , каким то образом залез Trojan.Encoder.31074 и зашифровал все файлы , что делать? есть ли способ вернуть файлы?

После проверки через kvrt нашел zfflnfqvpeqe.exe. После перезапуска восстановился под названием 3434.exe CollectionLog-2025.09.10-17.59.zip После virustotal'а 50 детектов. не знаю, много ли это говорит о ней

Поздравляю!

У меня вопрос ко всем, кто знаком с MAX: Во время звонка ко мне идет звук, но нет ни какой информации на телефоне (значка что бы ответить). Я догадываюсь, что это MAX. Захожу в него. И там еще надо найти звонящего, что бы ответить. Крайне не удобно. Так вот сам вопрос: Как настроить, что бы как в ватсапп или телеграмм появлялся значок "ответить" с инфой кто звонит?

SecurityCheck.txt

Пока ничем не можем помочь. Ждем логи FRST.

С расшифровкой файлов, увы, не сможем помочь по данному типу шифровальщика. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист); ---------- если необходима проверка второго ПК, сделайте на нем логи FRST и добавьте в эту же тему с пометкой "по второму ПК".

Перед сканированием подключил к ПК смартфон. Возможно вирус оттуда. FRST.txt Addition.txt

Здравствуйте! Явных признаков заражения в логах не видно. Сделайте дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

Здравствуйте! Всё правильно, спасибо. Наберитесь терпения, ответ консультанта может не появиться мгновенно, т.к. помощь оказывается на добровольных началах и в свободное от других занятий время. Пожалуйста, упакуйте в архив папку: и прикрепите к следующему сообщению. Деинсталлируйте нежелательное ПО через Параметры - Приложения: Если не получится удалить стандартно, удалите принудительно с помощью Geek Uninstaller Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

Зашифровали файлы на сервере, логи анализа системы при помощи Farbar Recovery Scan Tool получить на данный момент невозможно - машина на удаленном администрировании, при попытке подключиться удаленно компьютер отключается. Физический доступ к компьютеру получится получить не раньше субботы. Доступ есть только к внешнему жесткому диску, на нем обнаружена записка с текстом: Need decryption? I **Contact us**: Write to our email - forumkasperskyclubru@msg.ws Telegram - https://t.me/forumkasperskyclubru 5UAQ5QFTLJe6bdA2F6eTu-SNVaVq-QcLYH3XFxDzSTU*ID-13A55AA4-1122-forumkasperskyclubru@msg.ws Зашифрованные файлы + Записка.zip

Я с такой проблемой сталкивался на новых мат платах. Суть в том что поставив пароль на биос (уефи) при загрузке ОС он также спрашивает этот же пароль. Даже если не собираешься войти в биос. Решение: в самом биосе, в меню boot, в строке "параметры безопасности" нужно выбирать - Установки. До это была - Система. Повторюсь это на новых матплатах.

Fixlog.txt

Улучшили код для графика сравнения активности шифровальщиков. В обновленном варианте можно указать год для получения ТОП-5/10. При этом полученный список шифровальщиков автоматически используется (без необходимости ручного ввода имен) для сравнения активности по всем годам из базы статистики. Можно так же ввести произвольный список для сравнения активности. ———————— Из "долгожителей" можно отметить Salted2020, который активен с 2020 года, а возможно и раньше.

С Днём Рождения!

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. D.M. (38)Кнопка (32)saidhon (41)wakko (33)

Шифрование после очистки в FRST должно прекратиться. Автозапуск системы очищен. [3788] C:\Users\You\AppData\Local\044C88E9-4088-8956-58A2-5A196544B380\browser.exe => процесс успешно завершён. "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\browser" => успешно удалены "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\browser.exe" => успешно удалены "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\enc-build.exe" => успешно удалены Файлы шифровальщика удалены. файл шифровальщика проверен. На текущий момент KVRT должен детектировать: UDS:Trojan-Ransom.Win32.Generic ESET-NOD32 A Variant Of Win32/Filecoder.Mimic.D.gen https://www.virustotal.com/gui/file/d5b3e76e9fbf613cc1ea140f0f0fa74ff10513adcb3607939c953b92d01aa1dc/detection перехватить мы можем только публичный ключ, которым было выполнено шифрования. Для расшифровки файлов необходим соответствующий приватный ключ, который в системе не светится. + проверьте ЛС. + С расшифровкой файлов не сможем помочь по данному типу шифровальщика. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ Task: {1A07159F-EC88-4B98-9DFD-2D79887EFC19} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Нет файла <==== ВНИМАНИЕ Task: {1F28086E-28A5-432D-A93B-B688432AA9A2} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Нет файла <==== ВНИМАНИЕ Task: {26E788BA-ED19-4F49-94C4-4FDC538F2FF8} - \WPD\SqmUpload_S-1-5-21-53943567-3079362097-353134314-1004 -> Нет файла <==== ВНИМАНИЕ Task: {346CA901-E015-4642-82F4-3EF9BF068B12} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Нет файла <==== ВНИМАНИЕ Task: {389AA892-E05D-4699-8254-6E8360A69302} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Нет файла <==== ВНИМАНИЕ Task: {39D1CBDA-E0EA-45DC-9172-FB976C6AD91D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Нет файла <==== ВНИМАНИЕ Task: {489655F9-02C6-4845-99F2-8F15E4A73281} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Нет файла <==== ВНИМАНИЕ Task: {54F752F6-4A15-4C3B-8883-BF043018CE78} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Нет файла <==== ВНИМАНИЕ Task: {5E2B557F-B880-46C9-AE9A-BBF7ED948F33} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Нет файла <==== ВНИМАНИЕ Task: {724E17DF-5AB1-4FAC-B856-A449529B939B} - \WPD\SqmUpload_S-1-5-21-53943567-3079362097-353134314-1001 -> Нет файла <==== ВНИМАНИЕ Task: {7BF0EE85-F1EA-4637-B8D3-0CCB903FAB52} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Нет файла <==== ВНИМАНИЕ Task: {858BE814-C2E6-4CB5-BFDF-18ADA28D3772} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Нет файла <==== ВНИМАНИЕ Task: {B0958E2D-BF42-4019-8AD5-8BF009596FB7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Нет файла <==== ВНИМАНИЕ Task: {BAD9139C-003A-4C07-B166-A89B9D0E800B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Нет файла <==== ВНИМАНИЕ Task: {D47C76B4-8A84-4562-A2F3-3F949413007D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Нет файла <==== ВНИМАНИЕ Task: {EABE7A34-A5EC-40E4-8059-7BD24237BB98} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ CHR HKU\S-1-5-21-53943567-3079362097-353134314-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [djgdgdcfmdkficbifbnaacknblbkhhoc] CHR HKU\S-1-5-21-53943567-3079362097-353134314-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] CHR HKU\S-1-5-21-53943567-3079362097-353134314-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hcjjaajflhellmcfcecojihhmdbjmmlm] CHR HKU\S-1-5-21-53943567-3079362097-353134314-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ohedcglhbbfdgaogjhcclacoccbagkjg] CHR HKU\S-1-5-21-53943567-3079362097-353134314-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha] CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] CHR HKLM-x32\...\Chrome\Extension: [nladljmabboanhihfkjacnnkgjhnokhj] CHR HKLM-x32\...\Chrome\Extension: [pbcgcpeifkdjijdjambaakmhhpkfgoec] 2025-09-06 23:09 - 2025-09-06 23:09 - 000000000 ____D C:\temp 2025-09-06 21:14 - 2025-09-06 23:02 - 000000000 ____D C:\Users\Admin\Desktop\Netscan 1.3 Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение