Активность

Большое спасибо за скрипт!!! Высылаю FixLog Fixlog.txt

Все твики применились успешно? Сделайте полную проверку Malwarebytes, при обнаружении угроз сохраните отчёт в текстовый файл (Экспорт) и прикрепите к следующему сообщению. Также повторите проверку CureIt. Сообщите результат.

С днем рождения! Помним Вадима...

Добавьте так же логи FRST из зашифрованной системы. На первый взгляд, это похоже на Proxima/BTC=azadi. + Если систему сканировали Cureit. KVRT или штатным антивирусом, добавьте отчеты по сканированию, в архиве, без пароля. (Судя по детекту Ransom.Genetik было срабатывание на какой-то файл, возможно что этот файл и есть сэмпл шифровальщика, если возможно - покажите, пожалуйста запись с данным срабатыванием)

По очистке системы: Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKU\S-1-5-21-1904181108-3365603382-3189363475-1002\...\Run: [MediaGet2] => C:\Users\бухгалтер\MediaGet2\mediaget.exe --minimized (Нет файла) HKU\S-1-5-21-1904181108-3365603382-3189363475-1002\...\Run: [YandexBrowserAutoLaunch_4F4C6FE15CAA25252B1B4F2703997A43] => C:\Program Files Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\readme.txt [2026-01-26] () [Файл не подписан] HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ CHR HKU\S-1-5-21-1904181108-3365603382-3189363475-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec] CHR HKU\S-1-5-21-1904181108-3365603382-3189363475-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] CHR HKU\S-1-5-21-1904181108-3365603382-3189363475-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kbpnbonnhilfdihhodnflcplajklibbc] CHR HKU\S-1-5-21-1904181108-3365603382-3189363475-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha] CHR HKU\S-1-5-21-1904181108-3365603382-3189363475-1004\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk] CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] CHR HKLM-x32\...\Chrome\Extension: [kbpnbonnhilfdihhodnflcplajklibbc] CHR HKLM-x32\...\Chrome\Extension: [pbcgcpeifkdjijdjambaakmhhpkfgoec] CHR HKLM-x32\...\Chrome\Extension: [pfhgbfnnjiafkhfdkmpiflachepdcjod] Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

В понедельник пришел на работу, вся информация на компьютере зашифрована. Виндовс только запускается и браузер. Kotozavr.zip

А фаерволл от Касперского видит эти подключения? разрешает или блокирует?

FRST.txt Addition.txt

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\users\onh\appdata\local\temp\309649920.exe'); QuarantineFile('c:\users\onh\appdata\local\temp\309649920.exe', ''); QuarantineFile('C:\Users\ONH\AppData\Roaming\RAC\svcsc.exe', ''); DeleteFile('c:\users\onh\appdata\local\temp\309649920.exe', ''); DeleteFile('C:\Users\ONH\appdata\roaming\drpsu\alice\cloud.exe', '32'); DeleteFile('C:\Users\ONH\AppData\Roaming\DRPSu\Internet-Start.lnk'); DeleteFile('C:\Users\ONH\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet-Start.lnk'); DeleteFile('C:\Users\ONH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet-Start.lnk'); DeleteFile('C:\Users\ONH\AppData\Roaming\RAC\svcsc.exe'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false); end. Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Здравствуйте! При попытке авторизоваться в Kaspersky Security Center, выходит сообщение: Требуется аутентификация. Сервер администрирования использует недоверенный сертификат. Перенастройте приложение, указав действительный сертификат, или обратитесь к Главному администратору. Поиск выдает три сертификата: root@astra-test:~# sudo find /var/opt/kaspersky/ -name "klserver.cer" 2>/dev/null /var/opt/kaspersky/klnagent_srv/1103/klserver.cer /var/opt/kaspersky/klnagent_srv/1093/cert/klserver.cer /var/opt/kaspersky/klnagent/1103/klserver.cer Просмотрел командой openssl x509 -in /var/opt/kaspersky/*****/klserver.cer -noout -dates все три сертификата с актуальными датами. Подскажите, пожалуйста, куда копать? Как исправить?

Проверил с помощью drweb cureit. В результате проверки увидел этот dwm.exe (см. скриншот 1) Архив от автологгера прикрепил к сообщению. CollectionLog-2026.01.27-14.52.zip

Хорошо. Удалите, пожалуйста, старые и соберите новые логи FRST.txt и Addition.txt

Fixlog.txt

Делайте тогда всё в нормальном режиме.

При восстановлении системы, после нажатия кнопки "перезагрузить сейчас", ПК уходит в перезагрузку и выходит данное сообщение. Не получается запустить систему в безопасном режиме...

+ Вопросы выкупа не обсуждаем в открытой теме

Здравствуйте! Прочтите и выполните Порядок оформления запроса о помощи

Следующий скрипт выполните в безопасном режиме. Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1642496 2021-06-05] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1622016 2021-08-05] (Microsoft Windows -> Microsoft Corporation) S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [94208 2026-01-27] (Microsoft Windows -> Microsoft Corporation) S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [462848 2026-01-27] (Microsoft Windows -> Microsoft Corporation) S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3547136 2026-01-27] (Microsoft Windows -> Microsoft Corporation) Folder: C:\ProgramData\ztbhbqffszlu Folder: C:\ProgramData\czyuzabpfprl 2026-01-27 10:43 - 2026-01-27 12:44 - 000000000 ____D C:\ProgramData\ztbhbqffszlu 2026-01-27 10:43 - 2026-01-27 12:44 - 000000000 ____D C:\ProgramData\czyuzabpfprl StartPowerShell: Remove-MpPreference -ExclusionExtension ".exe" Remove-MpPreference -ExclusionPath "C:\Users\Irishka" Remove-MpPreference -ExclusionPath "C:" Remove-MpPreference -ExclusionPath "C:\ProgramData" Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile" EndPowerShell: ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Продолжайте в нормальном режиме загрузки. Скачайте этот архив, извлеките из него твики реестра и последовательно запустите каждый, соглашаясь с внесением изменений.

просит 1000баксов реально скинуть цену на 200-300? на самом деле комп с маленьким магазином. простенькая база у которой есть бекапы месячной давности. там эксель несколько файлов , которые хочет владелец восстановить.

FRST.txt Addition.txt

Дополнительно, пожалуйста: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

CollectionLog-2026.01.27-13.11.zip

Здравствуйте! Прочтите и выполните Порядок оформления запроса о помощи

Здравствуйте. Помогите с решением проблемы. В диспетчере задач отображается две системные программы dwm.exe, одна из них грузит ЦП на +-27% и по памяти 2,1 Гб (см. скриншот), а у второй всё адекватно. Ранее видел две темы (решенные) на этом форуме с аналогичной проблемой. Прошу помощи с решением данной проблемы

Логи собраны устаревшей версией Автологера. Скачайте, пожалуйста, актуальную версию (по ссылке из правил) и переделайте. Перед этим перезагрузите компьютер и закройте все остальные программы, в том числе антивирусные.