Активность

Разделяйте в этом случае логи. Чтобы было понятно по какому устройству, а лучше добавить логи или группой, или по порядку.

По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url> AlternateDataStreams: C:\WINDOWS\tracing:? [16] AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64] FirewallRules: [{617a4f46-8b11-4fa8-9b32-121342a7f3d3}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{ed637cd9-96d4-4de1-a5d8-c8b321e51f1d}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{A46C4D41-3159-4C8B-94E3-47FB14A439DE}] => (Allow) C:\Users\nniko\AppData\Roaming\.tlauncher\legacy\Minecraft\jre\bin\javaw.exe => Нет FirewallRules: [{A8D7ED82-E71D-4909-B47E-B31FC660F134}] => (Allow) C:\Users\nniko\AppData\Roaming\.tlauncher\legacy\Minecraft\jre\bin\javaw.exe => Нет FirewallRules: [{EC6111FC-F127-4965-A2A6-79594088E5C9}] => (Allow) C:\Users\nniko\AppData\Roaming\.tlauncher\legacy\Minecraft\jre\bin\javaw.exe => Нет FirewallRules: [{C893448C-627D-4574-9FDC-AF1EC667BC60}] => (Allow) C:\Users\nniko\AppData\Roaming\.tlauncher\legacy\Minecraft\jre\bin\javaw.exe => Нет FirewallRules: [{34962810-647C-48C8-8DA5-244C919BEF94}] => (Allow) C:\Program Files (x86)\Overwolf\0.280.1.4\OverwolfBrowser.exe => Нет файла FirewallRules: [{C5A2CEF6-07A9-4E9F-9E1B-126D491B16DA}] => (Allow) C:\Program Files (x86)\Overwolf\0.280.1.4\OverwolfBrowser.exe => Нет файла FirewallRules: [{CE835C30-17C9-4EC6-983D-6F5D27D78179}] => (Block) C:\Program Files (x86)\Overwolf\0.280.1.4\OverwolfBrowser.exe => Нет файла FirewallRules: [{5DEEF0FD-AB65-4562-9C90-44929D387B34}] => (Block) C:\Program Files (x86)\Overwolf\0.280.1.4\OverwolfBrowser.exe => Нет файла Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => Task: {FAD99340-432B-4BD6-A5D1-356983AB4072} - System32\Tasks\RunDS4Windows => C:\Users\user\Downloads\DS4Windows_3.3.3_x64\DS4Windows\task.bat [98 Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Напишите, что наблюдается сейчас проблема в системе или ушла после скриптов?

Общие рекомендации: теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. Артур Габитов (35)ррр-мяу (62)glafira37 (52)Strelnikoff (42)SnakeEyes (25)Haniyf (16)

Рейтинг участников клуба сезона 2025-2026 по состоянию на 15.08.2025 (ник | количество клабов): Примечание: по состоянию на указанную дату учтены не все активности в связи с задержкой в поступлении и (или) обработке данных. Важная информация:

Нет пока программы. Ждем.

да я про полную программу, а не про время начала. В. прошлом году программа была за недели 2

https://t.me/kasperskyclub/1063

все бы ничего, да ссылка на результат проверки неправильная. Неужели трудно просто скопировать из адресной строки браузера? потому что расширение в Хроме установлено Удалите. Только учтите, что если синхронизация браузера с учеткой в интернете включена, то оно вернется )

Всем привет! подскажите, пожалуйста, а вы можете программу встречи клуба в офисе прислать, чтобы правильно распланировать рабочий день

Позже, когда вновь дойду до родителей. Вспомнил, там есть портативная ФФ с древних времён, ещё посмотрю там.

Значит с каждой зараженной машины буду снимать анализ

Что не так с этой программой? Стояла стоит и будет стоять и работать, пользуюсь ей не первый год.! А какая разница? Вы думаете у меня в архиве мусор?) Нет его там нет и никогда не было! А если бы и был то его сразу было бы видно!) Наверное глупее вас, НО пока к вам не пишу у меня данная программа стоит и я ей пользуюсь ежедневно! Как только делаю ваши скрипты она просто исчезает с рабочего стола. Вывод, не делаю ваших скриптов она остается рабочей и визуально видна на рабочем столе. Я как то не по русский объясняю? Что не так в понимании сути изложенного? В чем трудность?) сделал НЕ ИЗ архива , что изменилось? https://www.virustotal.com/gui/file/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855?nocache=1

Скрипты пишутся на основе логов. Не факт, что они будут отличаться только именем пользователей.

Скрипт очисткиможно на всех хостах применять? или же надо учитывать пользователей профили?

выложите файл бэкапа

понял, в любом случае, спасибо вам за уделенное время

С расшифровкой файлов по данному типу шифровальщика не сможем помочь

С расшифровкой по данному типу шифровальщика к сожалению не сможем помочь без приватного ключа.

Проверять на virustotal нужно было не прямо в архиве, а разархивировать и отправить на проверку exe-файл. Если Вы его и запускаете прямо из архива, то вот Вам и ответ куда все исчезает.

вот файл Fixlog.txt

Спасибо. В Опере нет смысла, там в менеджере паролей нету адреса 192.168.0.1 Попробую и ИЕ, не нашёл его хранилища. Хотя маловероятно, поскольку несколько лет назад переставлял его в попытках вернуть фоновые изображения гаджетов. Плюс на компе ccleaner.

Провел очистку FRST, фикслог прилагаю. Да, планирую пройти все хосты, даже те которые визуально вроде бы не затронуты - нет явно перименованных файлов Fixlog.txt

https://www.virustotal.com/gui/file/4d9e115433e25ca5d26ec5940d9fbb4e1743329711141b0a32ac0412b865fbdd?nocache=1 Все нормальные а этот красный ESET-NOD32Вариант Win32/Packed.VMProtect.ACV СофосМЛ/ПЭ-А