Активность

Да, спасибо! "Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): O22 - Tasks: 2a51cd3f-d4d1-4e23-9207-bc0748f4d2fe - C:\ProgramData\TEMPsvp\jhi_serviceuz.exe (not signed - no company - DA39A3EE5E6B4B0D3255BFEF95601890AFD80709) O22 - Tasks: d55d6dbd-2196-4c80-8e57-314c60fb3090 - C:\Users\Public\Libraries\ca017ed4-04ac-44fa-8070-6890c0e1b33f\yusTextInputHost.exe (not signed - no company - DA39A3EE5E6B4B0D3255BFEF95601890AFD80709) O22 - Tasks: HWiNFO - C:\Windows\Branding\BenchMarkGSB\HWiNFO64.exe (file missing) O22 - Tasks_Migrated: 2a51cd3f-d4d1-4e23-9207-bc0748f4d2fe - C:\ProgramData\TEMPsvp\jhi_serviceuz.exe (not signed - no company - DA39A3EE5E6B4B0D3255BFEF95601890AFD80709) O22 - Tasks_Migrated: d55d6dbd-2196-4c80-8e57-314c60fb3090 - C:\Users\Public\Libraries\ca017ed4-04ac-44fa-8070-6890c0e1b33f\yusTextInputHost.exe (not signed - no company - DA39A3EE5E6B4B0D3255BFEF95601890AFD80709) O22 - Tasks_Migrated: HWiNFO - C:\Windows\Branding\BenchMarkGSB\HWiNFO64.exe (file missing) O26 - Debugger (Stack Rumbling): HKLM\..\autoruns.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\autorunsc.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\bcdedit.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\dism.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\GlassWire.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\GlassWireSetup.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\MediaCreationTool22H2.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\mmc.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\mstsc.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\PowerTool.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\PowerTool64.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\ReAgentc.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\recoverydrive.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\regedit.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\rstrui.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\systemreset.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\SystemSettingsAdminFlows.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\tcpview.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\tcpview64.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\vssadmin.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\Wireshark.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\wuapihost.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\wuauclt.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\x32dbg.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\x64dbg.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\xcopy.exe: [MinimumStackCommitInBytes] = 0x41888887 Перезагрузите компьютер. Далее: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

хорошо, а что делать с последними двумя цитатами? п.с. DNS наша сеть раздает автоматически и администратор просит не менять эту настройку.

О17 я не просил фиксить, только нужно было прописать сетевые настройки, которые выдал вам ваш интернет провайдер. Описанные выше проблемы не связаны с вирусами. Активного заражения по логам не видно.

CollectionLog-2025.08.20-13.18.zip оно или нет?

Судя по детекту на VT это Lockbit V3 Black: ESET-NOD32 A Variant Of Win32/Filecoder.BlackMatter.K https://www.virustotal.com/gui/file/1b3e5489e8694c102fd4483462127089d6586aadd5afe7a25de9c8659326cb37/detection Сэмпл видимо защищен паролем. update.exe -pass e32fae18c0e1de24277c14ab0359c1b7 Пароль можно снять. Пароль правильный:

https://disk.yandex.ru/d/bsj5QmXtKL7QMQ Fixlog.txt

У одного вентилятора есть разветвитель, к которому можно подключить ещё один вентилятор. Вот такой, но фото не моё:

По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/ HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/ HKU\S-1-5-21-693856920-1604087506-2574800942-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/ HKLM\...\Run: [browser.exe] => C:\Users\Elena\AppData\Local\HowToRestoreFiles.txt [3732 2025-08-19] () [Файл не подписан] Startup: C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ActivityId.vbs [2025-08-18] () [Файл не подписан] Startup: C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IsInherited.vbs [2025-08-18] () [Файл не подписан] Startup: C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Message.vbs [2025-08-18] () [Файл не подписан] GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ S2 wsc_proxy; "C:\Program Files\Avast Software\Avast\wsc_proxy.exe" /runassvc /rpcserver /wsc_name:"Avast Antivirus [X] S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] 2025-08-19 12:58 - 2025-08-19 14:17 - 000000000 ____D C:\temp 2025-08-20 08:51 - 2025-08-20 08:51 - 003605607 _____ C:\Users\Elena\Downloads\Сообщение.rar 2025-08-20 08:50 - 2025-08-20 08:50 - 004666553 _____ C:\Users\Elena\Downloads\Fwd Акт сверки на 18.08.2025.eml 2025-08-19 14:18 - 2022-11-06 17:54 - 000000000 __SHD C:\Users\Elena\AppData\Local\1C8FBF78-CEA9-289F-D10F-BCAD2CFEE8BF 2025-08-18 13:57 C:\Users\Elena\Downloads\akt_sverki_1C_9856665_PDF.com 2025-08-19 14:18 C:\Users\Elena\AppData\Local\1C8FBF78-CEA9-289F-D10F-BCAD2CFEE8BF REboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

R1 и 017 пофиксил, а что дальше делать не понятно.

Здравствуйте! Как и на Кибер-форуме советую - прочтите и выполните Порядок оформления запроса о помощи Определитесь, где будете продолжать, т.к. одновременное лечение на разных ресурсах может вам же повредить и запутать консультанта.

МАКС-глубокий-анализ-мессенджера: Статься в Вики

pro 32 был до но не работал уже давно в папках я пытался декомпилировать exe пароль на архив virus Documents.7z

Здравствуйте! Прочтите и выполните Порядок оформления запроса о помощи Новую тему создавать не нужно, продолжайте здесь.

Мне это особо ни о чем не говорит, покажите на скриншотах, либо пришлите экспорт политики.

Решил поправить время на пк, т.к. оно слетело, попытался его поправить, вылезла ошибка. Почитав темы с такой же проблемой, как у меня, вспомнил, что когда-то давно скачивал обход дискорда, подозрение на него.

FRST.txt Addition.txt

Сообщение.rar

Хорошо. И ещё это, пожалуйста: А также удалите старые и соберите новые логи FRST.txt и Addition.txt

С Днём Рождения!

Да, покажите эту "цепочку" для наглядности и понимания , что это за зверь такой

Эти файлы добавьте, пожалуйста, в один архив с паролем virus: 2025-08-19 09:30 - 2025-08-19 09:30 - 000145005 _____ C:\Users\Администратор\Documents\update.zip 2025-08-16 16:34 - 2025-08-16 16:34 - 000146944 _____ C:\Users\Администратор\Documents\update.exe Добавьте архив в ваше сообщение. покажите что в этих папках: 2025-08-19 09:29 - 2025-08-19 09:29 - 000000000 ____D C:\Users\Администратор\Documents\update 2025-08-19 11:42 - 2025-08-19 11:42 - 000000000 ____D C:\Users\Администратор\Documents\update1 Если систему сканировали KVRT или Cureit (судя по логам FRST) добавьте логи сканирования в архиве без пароля. PRO32 установили после шифрования, или на момент шифрования был установлен? PRO32 Endpoint Security (HKLM-x32\...\{E96E7EF3-8193-425A-94D2-5F46F82EDB01}) (Version: 4.4.0.20 - K7 Computing Pvt Ltd)

+ Добавьте так же сообщение из почты, которое открыл бухгалтер. Сообщение сохраните в файл в формате eml, файл добавьте в архив с паролем vius, архив загрузите в ваше сообщение.

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. Strike (43)Diman (37)Security-Information (41)Mikhalych (48)al_vara_che (39)федвал (73)

в политике KSC -контроль устройств . Прописаны флешки , выбирал пользователей по Active Directory

Помогите пожалуйста попал в такую ситуацию. С начала после запуска пк не открывалось не одно приложение, понель задач и поиск. Антивирус отказывался запускать сканирование запуская бессконечную загрузку. Попробовали AVZ не помогло, но встроенный антивирус винды начал работать но также ничего не нашел. Дальше переустановил виндовс, после скачивания всех обновлений, При настройки браузеров скачивании приложений проблема возобновилась. Установил касперский он нашел одну папку, но после удаления папки ничего не поменялаось. Симптомы: на нажатие кнопки виндовс реакции нет, не открывается поиск, настройки виндовс, при попытки зайти в персонализацию пишет что такого приложения не обнаружено. Подскажите пожалуйста что это может быть и как это решить?