Активность

Исправьте по возможности: Контроль учётных записей пользователя включен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Malwarebytes version 4.6.17.334 v.4.6.17.334 Внимание! Скачать обновления Process Hacker 2.39 (r124) v.2.39.0.124 Данная программа больше не поддерживается разработчиком. Деинсталлируйте ее, скачайте и установите System Informer. GIGABYTE Control Center 24.12.30.01 v.24.12.30.01 Внимание! Скачать обновления Microsoft Office Стандартный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Geeks3D FurMark 1.37.2.0 v.1.37.2.0 Внимание! Скачать обновления Microsoft Office Standard 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice 7-Zip 23.01 (x64) v.23.01 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ 7-Zip 2.12.25 v.2.12.25 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ ShareX v.16.1.0 Внимание! Скачать обновления Discord v.1.0.9151 Внимание! Скачать обновления Windscribe v.2.11.11 Внимание! Скачать обновления µTorrent v.3.6.0.47168 Внимание! Клиент сети P2P с рекламным модулем! qBittorrent v.5.0.3 Внимание! Скачать обновления Java 8 Update 421 (64-bit) v.8.0.4210.9 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u461-windows-x64.exe - Windows Offline (64-bit))^ ---------------------------- [ UnwantedApps ] ----------------------------- Driver Easy 6.1.0 v.6.1.0 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы. Дополнительные сканирования больше не нужны, просто деинсталлируйте нежелательное ПО. Касаемо Malwarebytes - на ваше усмотрение. Можете либо обновить версию (зеркало есть здесь), либо тоже деинсталлируйте. Два антивируса в системе не нужны. Читайте Рекомендации после удаления вредоносного ПО

поскольку он теперь обязателен для родительских чатов, взамен Сферума, то лучше обзавестись устройством только под него

все сделал, вот файл SecurityCheck.txt

Верно, так и должно быть. Отлично! В завершение, пожалуйста: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратораЕсли увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению.

да, один из способ с powershell помог, но перед первым заходом powershell говорил, что я вошел в систему не с аккаунта администратора (в параметрах мой аккаунт отображается как администратор), но когда я включил powershell с имени администратора все сработало, надеюсь все так и должно было быть

Да, с центром обновления есть проблемы, это и по логам видно. Пробуйте исправить несколькими способами, перечисленными здесь и здесь. Результат сообщите.

что то с центром обновления, ну и также во время активности вируса при запусках были удаленны spotify и один лаунчер, но думаю это не критично. А так вроде другие проблемы ушли, раньше было много папок к которым я не мог получить доступа, но сейчас ко всем папкам вроде как доступ есть, антивирусы ничего не находят

Хорошо, основное тело бэкдора сохранилось на момент очистки системы, думаю, что KRD все почистил как надо. Object="@Filesystem[6d3ac3b5-871f-7aa2-8a0d-31373afefefd]/ProgramData/Synaptics/Synaptics.exe" Info="Delete" /> В большинстве, остальное что было обнаружено, найдено в карантине FRST, т.е было безопасно для системы. ---------------- судя по контрольному запуску KVRT система очистилась от этой "ереси". <Block0 Type="Scan" Processed="2284" Found="0" Neutralized="0"> Жду ESVC чтобы получить дополнительную инфо о причинах проникновения шифровальщика.

Кое-какие недочёты в логах по-прежнему видны, но об этом позже. Какие из проблем сейчас ещё остаются?

Пока не планируем.

Сделали проверку KRD и KVRT. Отчеты их работы report_KVRD.zip report_KRD.zip

вот файлы Так же хотел сказать, что все файлы реестра кроме BUTS.reg смогли внестись в реестр FSS.txt FRST.txt Addition.txt

Тогда надо разбираться с DNS, т.к. судя по всему есть проблемы на его стороне. Можно сделать chkdsk, sfc /scannow.

Исправьте по возможности: Брандмауэр Защитника Windows (mpssvc) - Служба работает Отключен доменный профиль Брандмауэра Windows Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20651 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ NVIDIA GeForce Experience 3.28.0.417 v.3.28.0.417 Данная программа больше не поддерживается разработчиком. Рекомендуется использовать Приложение NVIDIA. AnyDesk v.ad 9.0.7 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления WinRAR 7.10 (64-bit) v.7.10.0 Внимание! Скачать обновления Discord v.1.0.9169 Внимание! Скачать обновления Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u461-windows-x64.exe - Windows Offline (64-bit))^ Adobe Acrobat v.23.001.20174 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ ---------------------------- [ UnwantedApps ] ----------------------------- Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Читайте Рекомендации после удаления вредоносного ПО

SecurityCheck.txt

Отлично! В завершение, пожалуйста: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратораЕсли увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению.

Все работает.

Скрипт отработал успешно. Что сейчас с проблемой?

Fixlog.txt

По файлам: сообщение *.EML уже детектируется, так как сдержит архив с вредоносом без пароля. https://www.virustotal.com/gui/file/40f536d23d08b19de561608fc5fdbe05c3dd3ca8bf36e56494b7dacc3ef0cd9f?nocache=1 архивное вложение из *.EML, содержащее вредоносный файл с маскировкой под документ PDF (на самом деле имеет последнее расширение *com) детектируется: https://www.virustotal.com/gui/file/ebdef6c402cbd2a7424a5a6dd30c08f67719c656bc28a1c8aa0edaf7823c5547 сам файл akt_sverki_1C_9856665_PDF.com из архивного вложения детектируется: https://www.virustotal.com/gui/file/3f8ede55b8fbc733b47e0a61c1def8fbd59aafdf86572ce57300b819d4ef8f79/details С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec CHR HKU\S-1-5-21-368317951-4249025801-3888089633-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec] AV: Kaspersky Anti-Virus (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23} FW: Kaspersky Security Cloud (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58} AlternateDataStreams: C:\ProgramData\MTA San Andreas All:6c732b6f [1134] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40] AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [154] StartPowerShell: Remove-MpPreference -ExclusionExtension ".exe" Remove-MpPreference -ExclusionPath "C:\ProgramData" Remove-MpPreference -ExclusionPath "C:\Users\Public" EndPowerShell: ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

По-моему это просто смешно. А что, кто-то питал иллюзии что мессенджер, позиционируемый как государственный, будет суперприватным

Addition.txt FRST.txt

Да, спасибо! "Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): O22 - Tasks: 2a51cd3f-d4d1-4e23-9207-bc0748f4d2fe - C:\ProgramData\TEMPsvp\jhi_serviceuz.exe (not signed - no company - DA39A3EE5E6B4B0D3255BFEF95601890AFD80709) O22 - Tasks: d55d6dbd-2196-4c80-8e57-314c60fb3090 - C:\Users\Public\Libraries\ca017ed4-04ac-44fa-8070-6890c0e1b33f\yusTextInputHost.exe (not signed - no company - DA39A3EE5E6B4B0D3255BFEF95601890AFD80709) O22 - Tasks: HWiNFO - C:\Windows\Branding\BenchMarkGSB\HWiNFO64.exe (file missing) O22 - Tasks_Migrated: 2a51cd3f-d4d1-4e23-9207-bc0748f4d2fe - C:\ProgramData\TEMPsvp\jhi_serviceuz.exe (not signed - no company - DA39A3EE5E6B4B0D3255BFEF95601890AFD80709) O22 - Tasks_Migrated: d55d6dbd-2196-4c80-8e57-314c60fb3090 - C:\Users\Public\Libraries\ca017ed4-04ac-44fa-8070-6890c0e1b33f\yusTextInputHost.exe (not signed - no company - DA39A3EE5E6B4B0D3255BFEF95601890AFD80709) O22 - Tasks_Migrated: HWiNFO - C:\Windows\Branding\BenchMarkGSB\HWiNFO64.exe (file missing) O26 - Debugger (Stack Rumbling): HKLM\..\autoruns.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\autorunsc.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\bcdedit.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\dism.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\GlassWire.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\GlassWireSetup.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\MediaCreationTool22H2.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\mmc.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\mstsc.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\PowerTool.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\PowerTool64.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\ReAgentc.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\recoverydrive.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\regedit.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\rstrui.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\systemreset.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\SystemSettingsAdminFlows.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\tcpview.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\tcpview64.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\vssadmin.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\Wireshark.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\wuapihost.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\wuauclt.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\x32dbg.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\x64dbg.exe: [MinimumStackCommitInBytes] = 0x41888887 O26 - Debugger (Stack Rumbling): HKLM\..\xcopy.exe: [MinimumStackCommitInBytes] = 0x41888887 Перезагрузите компьютер. Далее: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

хорошо, а что делать с последними двумя цитатами? п.с. DNS наша сеть раздает автоматически и администратор просит не менять эту настройку.