Активность

С расшифровкой файлов не сможем помочь по данному типу шифровальщика. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Удалил его через «приложения и возможности» Теперь компьютер наконец то без вирусов??)))

Отлично! В завершение, пожалуйста: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратораЕсли увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению.

Моя вина, не заметил, что в системе установлен Это вредоносное ПО, деинсталлируйте. Если не сможете стандартно, удалите принудительно с помощью Geek Uninstaller

По очистке системы в uVS: Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. ;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE hide %SystemDrive%\PROGRAM FILES\MUSEHUB\CURRENT\CLRJIT.DLL hide %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\MICROSOFT.YOURPHONE_1.25072.63.0_X64__8WEKYB3D8BBWE\CLRJIT.DLL ;------------------------autoscript--------------------------- delref %SystemDrive%\USERS\КОСТЯ\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\EXTENSIONS\HNDFJOGDCEACHKBGIOGLEHONPEJCDHEM\10.48_0\SAVEFROM.NET ПОМОЩНИК delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AMD.EXE delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\APPMODULE.EXE delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE delref %SystemDrive%\PROGRAMDATA delref %SystemDrive%\PROGRAM FILES\RDP WRAPPER delref %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE delref %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE delref %SystemRoot%\SYSWOW64\UNSECAPP.EXE delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKADAOHCKDKGHFACLHJMKMPLEBCDCNFNP%26INSTALLSOURCE%3DONDEMAND%26UC apply regt 27 regt 28 regt 29 deltmp delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\SKYVPN\SKYVPN.EXE delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\DRIVERS\VMBUSR.SYS delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref %Sys32%\DRIVERS\EAANTICHEAT.SYS delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY VPN 5.18\KSDE.EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\118.0.5993.71\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\118.0.5993.71\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\118.0.5993.71\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.116\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\USERS\КОСТЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.9.3.936\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ delref %SystemDrive%\USERS\КОСТЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.9.3.936\RESOURCES\YANDEX\BOOK_READER\BOOKREADER delref %SystemDrive%\USERS\КОСТЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.9.3.936\RESOURCES\OPERA_STORE\OPERA STORE delref %SystemDrive%\USERS\КОСТЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.9.3.936\RESOURCES\PDF\CHROMIUM PDF VIEWER delref %SystemDrive%\USERS\КОСТЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.9.3.936\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\117.0.2045.60\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.105\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\139.0.3405.86\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\PLANETVPN\PLANETVPN.EXE delref %SystemDrive%\PROGRAM FILES\BIAS FX 2 APPLICATION (64BIT)\BIAS FX 2_X64.EXE delref %SystemDrive%\USERS\КОСТЯ\APPDATA\LOCAL\PROGRAMS\POWERPOINT\POWERPOINTLAUNCHER.EXE ;------------------------------------------------------------- restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + добавьте новые логи FRST для контроля

Шанса нет? Fixlog.txt

При открытие этого файла детек срабатывает. Детектов не было или не успели увидит. Шифрование было ночью

Странно что не было детекта. Сэмпл видел в архиве, стандартный размер. Сэмпл стандартный, он детектируется в течение 2 лет. Консоль управления антивирусными агентами есть у вас? Есть инфо в консоли по детектам на узлах, или по отключению защиты? Не проверяли?

Была включена. зашифрованы и другие узла. Drweb тоже стоял. сэмпл шифровальщика приложен в 1 сообщении

Ясно. Судя по тому что KVRT нашел в корзине сэмпл шифровальщика <Event2 Action="Detect" Time="134024275544256319" Object="C:\$Recycle.Bin\S-1-5-21-130341685-3487650523-3890133209-1410\$RP16CU3.exe111" Info="HEUR:Trojan-Ransom.Win32.Generic" /> Drweb по идее тоже должен был его детектировать. (пока нет возможности выполнить анализ сэмпла, сделаю во второй половине дня, хотя анализ не поможет расшифровать файлы) Что произошло? Была отключена защита? Это единственный ПК который у вас пострадал, или зашифрованы и другие узлы в ЛС? + проверьте ЛС.

С Днём Рождения! С Юбилеем!

В файле только текст: Our Telegram for decrypt - @limes853 You can send some small test files to test our decryptor. You pay a few thousand USDT and we will provide you with a decryptor, detailed information about the cyberattack, backdoor and tips for future protection. DrWeb был KVRT2020_Data.rar

Записку о выкупе так же добавьте в виде файла. Хотя возможно в вашем случае она не формируется, тогда добавьте этот файл: (возможно в нем информация по условиям злоумышленников) 2025-09-15 02:08 - 2025-09-15 00:11 - 000000250 _____ C:\FOR ADMIN.README Добавьте так же отчеты по сканированию в KVRT, достаточно будет папки reports, в архиве, без пароля 2025-09-15 21:27 - 2025-09-15 21:51 - 000000000 ____D C:\KVRT2020_Data DrWeb был установлен на момент шифрования или после установили?

Ничего похожего на сэмпл шифровальщика нет, возможно был самоудален. По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ Startup: C:\Users\Developer_vnedrenie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\#README!.hta [2025-09-13] () [Файл не подписан] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\#README!.hta [2025-09-13] () [Файл не подписан] 2025-09-13 10:02 - 2025-09-13 10:02 - 002764854 _____ C:\ProgramData\@kind_ad.bmp 2025-09-13 09:17 - 2025-09-13 10:02 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Unlocker 2025-09-13 09:17 - 2025-09-13 10:02 - 000000000 ____D C:\ProgramData\IObit 2025-09-13 09:17 - 2025-09-13 10:02 - 000000000 ____D C:\Program Files (x86)\IObit Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Win 7 SP1 MSDN+ESU/Embedded POSReady/2008R2

При выборе любого сервера, в том числе российских, никуда не могу зайти, даже на .mail.ru: Не удается получить доступ к сайту Не удалось найти IP-адрес сервера e.mail.ru. Попробуйте сделать следующее: Проверьте подключение к Интернету. Checking the proxy, firewall, and Secure DNS configuration Выполните диагностику сети в Windows ERR_NAME_NOT_RESOLVED Пробовал DNS провайдера, Яндекса, Гугла с последующей очисткой кэша DNS. Что надо сделать? Не пользовался приложением пару лет, раньше работало нормально. Само приложение никаких ошибок не выдаёт

Искал я тут в Яндекс.Музыке что-нибудь из олдскульного зарубежного металкорчика послушать. И приложение сообщило о ближайшем концерте группы As I Lay Dying в Москве с предложением купить билеты (хотя я думал, что в последнее время мы сильно обделены концертами зарубежных исполнителей). Вдруг, кто-нибудь соскучился по чему-нибудь зарубежному? Даты концертов в трех городах:

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. Severus (40)Galah (46)DesertEagle (40)gupol (41)mapux --

По возможности исправьте: Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Process Hacker 2.39 (r124) v.2.39.0.124 Данная программа больше не поддерживается разработчиком. Деинсталлируйте ее, скачайте и установите System Informer. AMD Software v.25.5.1 Внимание! Скачать обновления Notepad++ (64-bit x64) v.8.4.8 Внимание! Скачать обновления Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12325.20298 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ Microsoft Visual Studio Code (User) v.1.101.2 Внимание! Скачать обновления Google Update Helper v.1.3.35.341 Данная программа больше не поддерживается разработчиком. 7-Zip 24.09 (x64) v.24.09 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ Paint.NET v.5.1.7 Внимание! Скачать обновления Discord v.1.0.9041 Внимание! Скачать обновления AIMP v.5.40.2683 Внимание! Скачать обновления ^Внимание! Данный установщик устанавливает сторонние программы. Снимайте галочки или нажимайте Отмена в соответствующих окнах установщика.^ KMPlayer 64X (remove only) v.2025.6.18.23 Внимание! Скачать обновления Mozilla Firefox (x64 ru) v.128.0 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ ---------------------------- [ UnwantedApps ] ----------------------------- 4K Video Downloader Plus v25.2.0.210 v.25.2.0.210 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция. На этом закончим.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Здравствуйте. Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; TerminateProcessByName('c:\programdata\caaservice\caaservices.exe'); QuarantineFile('c:\programdata\caaservice\caaservices.exe',''); DeleteFile('c:\programdata\caaservice\caaservices.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CAA Service','x64'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(9); RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end. Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ну Вы же как-то определили, что он у Вас был. Неужели так трудно оценить ситуацию сейчас... Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе. Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Прикрепите этот файл в своем следующем сообщении.

Здраствуйте. Подцепила майнер неведомо где, cureit, естественно, с ним не справился. CollectionLog-2025.09.15-23.40.zip

С днем Рождения

С днем Рождения