Активность

да,Cureit нашел сэмпл шифровальщика. C:\users\администратор.srv\appdata\local\3f24cce5-eadd-79fd-541c-45594cf2ec25\kav_tools.exe - infected with Trojan.Encoder.40979 C:\users\администратор.srv\appdata\local\3f24cce5-eadd-79fd-541c-45594cf2ec25\kav_tools.exe - infected - 86ms, 2270720 bytes C:\Users\Администратор.SRV\AppData\Local\Temp\2\7ZipSfx.000\forumkasperskyclubru@msg.ws.exe - infected with Trojan.Encoder.40979 C:\Users\Администратор.SRV\AppData\Local\Temp\2\7ZipSfx.000\forumkasperskyclubru@msg.ws.exe - infected - 74ms, 2270720 bytes по логам FRST: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\...\Run: [KAV_TOOLS] => C:\Users\Администратор.SRV\AppData\Local\3F24CCE5-EADD-79FD-541C-45594CF2EC25\KAV_TOOLS.exe HKLM\...\Run: [KAV_TOOLS.exe] => C:\Users\Администратор.SRV\AppData\Local\Kaspersky_info.txt [223 2025-09-13] () [Файл не HKLM\...\Policies\system: [legalnoticetext] Need decryption? IFEO\1cv8.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\1cv8c.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\1cv8s.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\searchprotocolhost.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ 2025-09-13 09:44 - 2023-12-17 11:49 - 000000000 __SHD C:\Users\Администратор.SRV\AppData\Local\3F24CCE5-EADD-79FD-541C-45594CF2EC25 2025-09-13 09:42 - 2025-07-10 20:14 - 000000000 ____D C:\temp Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Скрипт поправил для второго ПК. можно его выполнить еще раз.

Здравствуйте. Неделю назад поставили Kaspersky Plus по подписке на второй компьютер (до этого несколько месяцев компьютер был без защиты). Обнаружилось 2 вируса. Один внедрён в svhost, другой - отдельное приложение майнер. Пробовали лечить, удалять и всё безрезультатно.

После команды исправить выдала ошибку: Файл Fixlist.txt не найден. Запустил процесс сканирования для 2-го компьютера под Windows повторно. Файлы с логами прилагаю. Ждать новый код или копировать и запустить скан прежнего? FRST.txt Addition.txt

Результаты сканирования FRST + результаты сканирования Cureit + обнаруженный файл вируса virus.rar Вирус активен, при загрузке системы в обычном режиме запускается скорей всего через планировщик, файлы на подключенной для флешке при этом зашифровались FRST.txt Addition.txt cureit.log

Понял принял,спасибо!

Вроде, на первый взгляд - всё в норму пришло, спасибо! Логины, пароли на сайты - восстановлю, это мелочи. С флешкой - поможете? Заранее благодарен:)

Здравствуйте! Извините за задержку с ответом. Найдите его отчёт в виде файла cureit.log, упакуйте в архив и прикрепите к следующему сообщению.

Хорошо. Кроме флешки какие ещё проблемы сейчас наблюдаете?

С Днём Рождения!

Скорее всего запуск шифровальщика был на другом устройстве. На данном устройстве нет следов запуска, кроме зашифрованных файлов на общем ресурсе. Проверяйте на другим ПК, где мог быть запуск шифровальщика. В папке c:\temp должен быть файл session.tmp Логи FRST нужны с устройства, где был запуск шифровальщика.

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. che-hoff (43)Нэлли --Ibis (64)Bura (39)kroJl1k (38)Антон Бурлаков (37)Ajax (39)

Обратитесь в соседний раздел Компьютерная помощь. Быть может там что-либо посоветуют.

Обычно у глобальных лицензий ограничений не было, но всякое может быть. Остается только пробовать.

А вы РЕД ОС не обновляли случайно?

он спрашивает про глобальную лицензию. Там темный момент. Я спросил админов на оф. форуме. Если ответят - напишу.

может не по вашей части но подскажите пожалуйста (сижу с телефона)сбросил виндоус до заводских но не работает клавиатура и мышь что может помочь

В РФ KSeC не включен в подписку premium, KSeC для РФ можете только купить за деньги на сайте, но выбор стран там пока мало.

Скорее всего вирус проник через RDP, распространился по доступным сетевым папкам, затронул только диск D, диск С не трогал. В готовых на сайте дешифровщиках не виден. Спасибо. Addition.txt FRST.txt virus.7z

Поздравляю!

Fixlog.txt

Из той же темы

Нет никакого John в логах, равно как и еще чего-либо подозрительного

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;Прикрепите этот файл в своем следующем сообщении.

Добрый вечер. В организаци была развёрнута виртуальная машина с ред ос 7.3.5, на ней ksc 15.0 и веб консоль тойже версии, всё работало в течении пол года. После перезагрузки виртуальной машины не могу зайти в веб консоль, статус службы выдаёт ошибку (скриншот), причём ранее виртуальную машину перезагружали, никаких проблем не было, в чём может быть проблема? переустановка веб консоли не помогла.