Активность

олученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Ничего не распаковывалось а просто написано скрипт выполнен без ошибок второй скипт также пишет -ошибка - БЕГИН експеслед в позиции 1:12

Хорошо, проверьте ЛС.

Понятно. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Windows\winstart.bat', ''); DeleteFile('C:\Windows\winstart.bat', '32'); DeleteFile('C:\Windows\winstart.bat', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(19); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false); end. Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. "Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B0DD27DC-37AD-4184-A3C4-6C0A8D64D494} - \iTopVPN_Scheduler_admin (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CA6CBCED-72B7-4659-864F-5BB122C3E72D} - \iTopVPN_SkipUAC_admin (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F9B04E0E-87CF-4A22-8DA2-72F151963AAA} - \iTopVPN_Update_admin (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Avast Software (empty) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Mozilla (empty) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking\Spybot - Search and Destroy (empty) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WiseCleaner (empty) O22 - Tasks: (disabled) Adobe Flash Player PPAPI Notifier - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_270_pepper.exe -check pepperplugin (sign: 'Adobe Inc.') O22 - Tasks: (disabled) Adobe Flash Player Updater - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (sign: 'Adobe Inc.') O22 - Tasks: iTop JunSale Task (One-Time) - C:\Program Files (x86)\iTop VPN\Pub\iTopJunSale2025.exe /rpop (file missing) O22 - Tasks_Migrated: (disabled) Adobe Flash Player NPAPI Notifier - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_156_Plugin.exe -check plugin (file missing) O22 - Tasks_Migrated: (disabled) Adobe Flash Player PPAPI Notifier - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_270_pepper.exe -check pepperplugin (sign: 'Adobe Inc.') O22 - Tasks_Migrated: (disabled) Adobe Flash Player Updater - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (sign: 'Adobe Inc.') O22 - Tasks_Migrated: (disabled) CCleaner Update - C:\Program Files\CCleaner\CCUpdate.exe (file missing) O22 - Tasks_Migrated: (disabled) CCleanerSkipUAC - C:\Program Files\CCleaner\CCleaner.exe $(Arg0) (file missing) O22 - Tasks_Migrated: \Avast Software\Overseer - C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe /from_scheduler:1 (file missing) O23 - Service S3: Adobe Flash Player Update Service - (AdobeFlashPlayerUpdateSvc) - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (sign: 'Adobe Inc.') O23 - Driver S3: avast! SecureLine TAP Adapter v3 - (aswTap) - C:\Windows\System32\drivers\aswTap.sys (+safe mode) (sign: 'AVAST Software s.r.o.') O23 - Driver S3: GridinSoft Internet Security Driver - (GridinSoftInetSecurityDriver) - C:\Windows\system32\DRIVERS\gsInetSecurity.sys (+safe mode) (sign: 'GridinSoft, LLC') O23 - Driver S3: GridinSoft Mini-Filter service - (GSDriver) - C:\Windows\System32\drivers\GSDriver64.sys (sign: 'Microsoft' - no company) O23 - Driver S3: GridinSoft Trojan Killer Driver - (TrojanKillerDriver) - C:\Windows\system32\DRIVERS\gtkdrv.sys (sign: 'GridinSoft, LLC') O23 - Driver S3: HitmanPro 3.7 Support Driver - (hitmanpro37) - C:\Windows\system32\drivers\hitmanpro37.sys (sign: 'Microsoft' - no company) Ещё раз перезагрузите компьютер. Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Я не могу найти такой файл в Виндовс по указанному вами пути, нет такого файла

Здравствуйте, обратитесь за помощью к Вашему администратору антивирусной защиты.

Поправка, они генерятся при запуске шифровальщика, то есть уникальны для сервера, где стартует. Так что наши не актуальны. Мы в песочнице запускали его.

Здравствуйте! Пожалуйста, аккуратно упакуйте в архив файл C:\Windows\winstart.bat и прикрепите к следующему сообщению.

проверьте ЛС,

Добавьте, пожалуйста, в файл текстовые фразы. Скорее всего используются при запуске сэмпла.

Вчера рабочий стол после перезагрузки стал черным но все значки остались, что делать я не знал и попробовал восстановить систему из точки восстановления, часа 4 или больше система востановлмвалась. После восстановления экран все также был черным, значки браузеров хром и Яндекс не реагировали. Сегодня переустановил Яндекс, скачал по новому хром- в течении 10-15 минут шла инициализация Хром. Хотел бы узнать в чем причина неожижанного действия. И еще каждый раз когда открываю Хром, открывается окошко с - Что нового в 1ClickVPN. zip-архив с собранными логами - CollectionLog приложил CollectionLog-2025.08.12-10.28.zip

Нет. Но для верности сделайте дополнительно проверку с помощью CureIt. Результат сообщите.

Удалил приложение и срабатываний больше не было. Подскажите, по остальным проверкам, какае-то явные признаки заражения есть?

Вы вообще читать умеете не через строчку?

Всё также

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе. Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;Прикрепите этот файл в своем следующем сообщении.

Что сейчас с проблемой?

Здравствуйте. Выполните Порядок оформления запроса о помощи. Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.

AV_block_remove_2025.08.12-10.08.logFixlog.txt

Потому что читать нужно внимательно: первый пункт инструкции находится перед скриптом для Farbar

Добрый день! Прикладываю архив шифровальщика с паролем, файл с инфо от них с паролем, примеры шифрованных файлов, и файл private.txt. Есть еще какие-то парольные фразы, выхватили успели, для входа в шифровальщик использовали. С дампом сейчас подумаем. Files.rar GUI_171awfw6.rar How To Restore Your Files.rar private.txt

AV_block_remove_2025.08.12-10.08.log

У меня была рабочая суббота ))

Я запуталась с запуском Farbar Recovery Scan Too, не получается почему-то исправить, а точнее я не могу найти тот файл чтобы поместить всё в одну папку и также не понимаю что делать с копированным текстом AV_block_remove_2025.08.12-10.08.log.

С Днём Рождения!

Да. Уже после первого шага. Спасибо.