Активность

Добрый день, словили шифровальщика, возможно ли помочь?Shortcut.txtFRST.txtНовая папка.zipAddition.txt Во вложении 2 зашифрованных файла, 1 так же расшифровал злоумышленник (внутри) 2 вида запроса о выкупе а так же логи пароль на архив стандартный (virus)

дополнительно сделайте образ автозапуска системы в uVS. Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса. 1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог. 2. запустите из каталога с модулями uVS файл Start.exe (для Vista, W7- W11 выберите запуск от имени Администратора) 3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора) 3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4 Если запросили образ автозапуска с ! отслеживанием процессов и задач !: В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. 4. Далее, меню "Файл" / Сохранить Полный образ автозапуска. 5. Дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Экспортируйте отчёт антивируса в текстовый файл и прикрепите к следующему сообщению. Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKU\S-1-5-21-3186730508-4205655915-3652150450-1002\...\MountPoints2: {e0b1001b-04bc-11f0-b9b9-c88a9a1b2cf8} - "E:\setup.EXE" /AUTORUN ProxyEnable: [S-1-5-21-3186730508-4205655915-3652150450-1002] => Proxy включён ProxyServer: [S-1-5-21-3186730508-4205655915-3652150450-1002] => 127.0.0.1:10808 ManualProxies: 1127.0.0.1:10808 <==== ВНИМАНИЕ RemoveProxy: ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

Я в первый раз случайно запустил hijackthis с антивирусом и он нашёл PDM:Exploit.Win32.Generic. Так и должно быть? FRST.txt Addition.txt

ну правильно пишут, как вариант. Характеристики компьютера напишите. Особенно точную модель блока питания и точную модель видеокарты. И той что раньше стояла.

Здравствуйте! Замечание: логи собраны устаревшей версией Автологера. Лечащие утилиты часто обновляются, поэтому старайтесь скачивать актуальные. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\users\kostya\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn\setup.exe'); TerminateProcessByName('c:\users\kostya\appdata\roaming\utorrent\utorrentweb.exe'); QuarantineFile('c:\users\kostya\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn\setup.exe', ''); QuarantineFile('c:\users\kostya\appdata\roaming\utorrent\utorrentweb.exe', ''); DeleteSchedulerTask('EdgeUpdate'); DeleteSchedulerTask('UpdateTorrent'); DeleteFile('c:\users\kostya\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn\setup.exe', ''); DeleteFile('c:\users\kostya\appdata\roaming\utorrent\utorrentweb.exe', ''); DeleteFile('C:\Users\Kostya\AppData\Roaming\utorrent\UtorrentWeb.exe', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Kostya', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Kostya', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Для повторной диагностики запустите снова свежий AutoLogger. Прикрепите новый CollectionLog.

Здравствуйте! Не стану создавать новую тему, опишу тут свою ситуацию. Недавно поменяла видеокарту на своём ПК на более мощную и с тех пор комп включается только со второго раза. Первый раз включается и сразу экран гаснет (системник работает, но лампочка на мониторе ораньжевая), жму перезагрузить и уже нормально включается. Переустановка винды (10 стоит) не помогла. Подскажите что проверить куда копать? Пробовала гуглить, первое что пишут - питания не хватает.

С расшифровкой файлов не сможем помочь по данному типу шифровальщика. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Да, отключайте до перезагрузки.

Антивирус нужно отключать?

Сделал AV_block_remove_2025.09.15-09.40.log CollectionLog-2025.09.15-09.55.zip

Добрый день! Fixlog.txt

Обьект: app.dll Путь: C:\Users\Kostya\AppData\Local\Temp\2ZvUszGBODCz5KZzRQ7mSDo50rn\resources\app.asar.unpacked\dist\electron\assets\app.dll

Изначально, вчера на своём компьютере обнаружил вирус Tool.btcmine.2714 с помощью dr web cureit. Удалил его и выключил компьютер, также отрубил интернет на всякий случай. Сегодня сутра проснулся и решил проверить пк снова, tool.btcmine.2714 уже не было, но появился некий Trojan.Siggen31.46344. Его я также попытался удалить \ вылечить. Но при перезагрузке ПК вирус остаётся на месте. Что делать? И связано ли это CollectionLog-2025.09.15-09.08.zipкак то с tool.btcmine.2714? По инструкции прикрепил логи.

В целом - ничего критичного логи не показывают. Сделаем некоторую очистку мусорных записей. "Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 127.0.0.1:10808 (enabled) R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies: (default) = 1127.0.0.1:10808 Перезагрузите компьютер. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

CollectionLog-2025.09.15-02.46.zip

Здравствуйте! Вложение по какой-то причине недоступно. Загрузите, пожалуйста, ещё раз. Можно следующим сообщением.

Две одинаковых чего? Флешки? Или две системы? Я всё же склоняюсь к мнению, что это неисправность самого носителя. Но посоветуйтесь в соседнем разделе форума. По нашей части в завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратораЕсли увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению.

С Днём Рождения!

Спасибо большое!!!

Скачайте AV block remover (или с зеркала). Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем. Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads). В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером (уже пробуйте в нормальном режиме загрузки).

+ Добавьте, пожалуйста, отчет по обнаружениям и сканированию из Касперского + дополнительно сделайте образ автозапуска системы в uVS с ! отслеживанием процессов и задач !. Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса. 1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог. 2. запустите из каталога с модулями uVS файл Start.exe (для Vista, W7- W11 выберите запуск от имени Администратора) 3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора) 3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4 Если запросили образ автозапуска с ! отслеживанием процессов и задач !: В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. 4. Далее, меню "Файл" / Сохранить Полный образ автозапуска. 5. Дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. Nikiror (31)Падший Ангел (38)BAS777 (47)

Если других устройств где был найден запуск шифровальщика более нет, то на этом и завершим работу по вашей теме. Далее, вам надо будет самостоятельно привести зараженные системы в рабочее состояние, выполнить рекомендации по защите от шифровальщиков, чтобы не повторились новые атаки.

Судя по логам на этом устройстве не было запуска шифровальщиков. Нет зашифрованных файлов. Проверяйте на другим ПК, где мог быть запуск шифровальщика. В папке c:\temp должен быть файл session.tmp