Активность

Проверьте ЛС

1.zip

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Quarantine.7z не появляется в папке с AVZ. Прикрепляю фото после 2ого скрипта. CollectionLog-2025.09.07-14.43.zip

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\farap\AppData\Roaming\DriversUpdate\taskhostupdate.exe',''); QuarantineFile('C:\Users\farap\AppData\Roaming\DriversUpdate\Runtime_Broker.exe',''); QuarantineFile('C:\Users\farap\AppData\Roaming\Microsoft\Crypto\CRC\Runtime.exe',''); DeleteFile('C:\Users\farap\AppData\Roaming\Microsoft\Crypto\CRC\Runtime.exe','64'); DeleteFile('C:\Users\farap\AppData\Roaming\DriversUpdate\Runtime_Broker.exe','64'); DeleteFile('C:\Users\farap\AppData\Roaming\DriversUpdate\taskhostupdate.exe','64'); DeleteSchedulerTask('Microsoft\Windows\MUI\FPRemove'); DeleteSchedulerTask('Microsoft\Windows\MUI\RPRemove'); DeleteSchedulerTask('Microsoft\Windows\USB\Usb-Notification'); DeleteSchedulerTask('Microsoft\Windows\UpdateOrchestrator\USO_UxBroker'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end.Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

CollectionLog-2025.09.07-14.22.zip

Здравствуйте. Выполните Порядок оформления запроса о помощи. Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.

Порядок оформления запроса о помощи

Помогите удалить майнер. Похожая тема с данным трояном.

Полное сканирование.txt

Если систему сканировали KVRT или штатным антивирусом, добавьте отчеты по сканированию. в архиве, без пароля.

Fixlog.txt

#Recover-Files.txt.rar

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ ProxyServer: [S-1-5-21-3252461927-336928655-3012238238-1000] => 127.0.0.1:2080 RemoveProxy: CHR StartupUrls: Default -> "hxxp://isearch.avg.com/?cid={DE40225D-5B50-46BA-A1D0-89BBCBC90ADD}&mid=&lang=&ds=&pr=&d=&v=&sap=hp","hxxp://isearch.avg.com/?cid={DE40225D-5B50-46BA-A1D0-89BBCBC90ADD}&mid=eb0c0b1bc06547d083acd16f1cf711e8-8f21eb6165c0003a73950adc6d577da4d9a7653a&lang=ru&ds=st011&pr=sa&d=2012-07-15 20:25:58&v=11.1.0.12&sap=hp","hxxps://isearch.avg.com/?cid={DE40225D-5B50-46BA-A1D0-89BBCBC90ADD}&mid=eb0c0b1bc06547d083acd16f1cf711e8-8f21eb6165c0003a73950adc6d577da4d9a7653a&lang=ru&ds=st011&pr=sa&d=2012-07-15 20:25:58&v=12.2.5.32&sap=hp","hxxp://search.babylon.com/?affID=114436&tt=101012_24_4112_3&babsrc=HP_ss&mntrId=e86da7ec00000000000000265ed614b3","hxxp://mail.ru/cnt/7993/","hxxp://ru.msn.com/?pc=UP97&ocid=UP97DHP&dt=071413","hxxp://mail.ru/cnt/10445?gp=789162","hxxp://mail.ru/cnt/10445?gp=818409","hxxps://find-it.pro/?utm_source=distr_m" AV: Malwarebytes (Disabled - Out of date) {0D452135-A081-B000-D6B6-132E52638543} FirewallRules: [{B170E5E8-FB46-4233-8310-36054C36992E}] => (Allow) LPort=5130 startbatch: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" endbatch: ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

Добавьте два адреса *.adobe.com и *.adobe.io

Addition.txt FRST.txt

Добавьте несколько зашифрованных файлов + записку о выкупе (2025-09-07 06:15 - 2025-09-07 06:15 - 000000403 _____ C:\#Recover-Files.txt.txt) в архиве, без пароля. Если систему сканировали KVRT или штатным антивирусом, добавьте отчеты по сканированию. в архиве, без пароля.

Добавлял тот,, что говорили выше "notify.adobe.io " И там каждый раз разный адрес в окошке.

@Umnik что думаешь про связку с госуслугами?

Нужна помощь с расшифровкой файлов Addition.txt FRST.txt

Приветствую всех. На старом сервере обновили KSC 14.2 на KSC 15.1. Естественно, после обновления KSС не работает. Как лучше откатиться на 14.2 чтобы не потерять связь с агентами? Бэкап перед обновлением сделали посредством klbackup. Вижу 2 варианта: 1. Ставить KSC 14.2 поверх. Если не заработает - восстановить бэкап. 2. Удалять KSC 15.1. Ставить KSC 14.2. Восстанавливать бэкап. Какой вариант лучше?

Дополнительно, пожалуйста: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

Хорошо, ждём результат.

С Днём Рождения!

Чтобы в чем то помочь вам, для начала надо определить тип шифровальщика. Вы предоставили неполную информацию для этого. Добавьте логи сканирования, чем вы чистили систему: KVRT или Cureit, добавьте записку о выкупе, добавьте логи FRST сделанные в зашифрованной системе.