Активность

По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ Task: {1F8AF4E2-D717-41DD-A5C5-3C4254B01863} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\Unlock -> Нет файла <==== ВНИМАНИЕ Task: {2323D594-3C5C-48B3-8774-A0B399336F19} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\OnIdle -> Нет файла <==== ВНИМАНИЕ Task: {63E015E3-E467-4A05-A636-1C520DF3638E} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\Logon -> Нет файла <==== ВНИМАНИЕ Task: {DCDED0B4-3C9D-4C34-9490-ECA4731C5353} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\Time -> Нет файла <==== ВНИМАНИЕ Task: {E4C2AD12-0E5E-49B3-8F66-06622FD40FAE} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\OutOfIdle -> Нет файла <==== ВНИМАНИЕ Task: {F19ACB1F-AC90-40DB-B422-B646CBE0E947} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\RunCampaignManager2 -> Нет файла <==== ВНИМАНИЕ Task: {FC16EC1D-23A3-4B86-AAE2-0FA349F109FB} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ S3 cpuz143; \??\C:\WINDOWS\temp\cpuz143\cpuz143_x64.sys [X] <==== ВНИМАНИЕ S3 cpuz145; \??\C:\WINDOWS\temp\cpuz145\cpuz145_x64.sys [X] <==== ВНИМАНИЕ 2025-08-24 11:24 - 2025-08-24 11:24 - 000000973 _____ C:\Users\rdp_profirost_zp\AppData\Local\Decrypt_enkacrypt.txt 2025-08-23 23:16 - 2025-08-24 04:02 - 000000000 ____D C:\temp 2025-08-24 12:51 - 2023-08-28 20:32 - 000000000 __SHD C:\Users\rdp_profirost_zp\AppData\Local\A830A994-1E61-805B-532D-74E13170897A Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Прикрепляю файлы Файл с требованиями злоумышленников был случайно удалено, но в нем содержались след данны decryption ID is F3f59ZrkCMVp8JD9fcP48NnmGPuFCl62p53uwGSWpD8*enkacrypt-F3f59ZrkCMVp8JD9fcP48NnmGPuFCl62p53uwGSWpD8 почта enkacrypt@onionmail.org enkacrypt@proton.me Addition_24-08-2025 14.04.01.txt FRST_24-08-2025 14.02.48.txt файлы зашифрованные.rar

@Denis Molin. Следуя правилам: от вас нужны несколько зашифрованных файлов и записка о выкупе в архиве без пароля + логи FRST (файлы Addition.txt и FRST.txt) из системы, где произошло шифрование.

Как интерпретировать ошибку, можно погуглить решения в сети. Ошибка 0x81000203 в Windows означает, что произошел сбой или отключение функции "Системное восстановление" или службы "Теневое копирование тома", что мешает созданию точек восстановления или выполнению восстановления системы Ошибки приложения: ================== Error: (08/23/2025 12:38:50 PM) (Source: VSS) (EventID: 12292) (User: ) Description: Ошибка теневого копирования тома: Ошибка при создании класса поставщика теневого копирования COM с CLSID {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} [0x80070424, Указанная служба не установлена. ].

разумеется, по закону Яровой

Порядок оформления запроса о помощи

Добрый день. Подскажите, как решить проблему с данным шифровальщиком?

А я не переживаю по Максу, на телефоне есть Госуслуги, Сбербанк и т.д., думаю если они хотели, то все что надо уже собирают с телефона. Касательно самой переписки и анализа ее на сервере, просто помните об этом и учитывайте в общении. У меня вот оператор Сбер, у него включена функция защиты от мошенников, т.е. ИИ анализирует, что говорит собеседник и в случае опасности во время разговора подключается третьей стороной и говорит об осторожности., т.е. все разговоры анализируются ИИ на маркеры фразы в реальном времени и наверное логируются где-то.

@sputnikk не в мошенниках дело ведь. Убирают конкурентов и тех, кто не подчиняется. Те же сотовые операторы не только за трафик деньги хотят, но и за ваши минуты.

судя по сообщениям в прессе мошенники звонят и по МАХ, при этом номер звонящего скрыт

Клубчане, вот вам подарок на ДР клуба, сам вырастил, не ИИ, немного ухода, обрезки, ну и фосфор с калием в виде допинга). P.S. Фото портретное специально, в пейзажном формате мне меньше понравилось.

С Днём Рождения!

Готово. Fixlog.txt

Выполнитк очистку в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: AlternateDataStreams: C:\Users\Professional\Application Data:f1110d733c8939dcd961030d636e45d3 [394] AlternateDataStreams: C:\Users\Professional\AppData\Roaming:f1110d733c8939dcd961030d636e45d3 [394] 2025-08-23 09:50 - 2025-08-23 09:50 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll R3 cpuz158; C:\Windows\temp\cpuz158\cpuz158_x64.sys [44592 2025-08-24] (Microsoft Windows Hardware Compatibility Publisher -> CPUID) <==== ВНИМАНИЕ HKU\S-1-5-20\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-19\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-20\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

scannow молчит. Reg-файл добавил, не перезагружался. Сейчас всё поставлю. Да, был момент, когда он создавал в загрузках и в декстопе папку "Av_Block_remover", Не обратил на это внимание пока вручную менял безопасность папок и удалял.

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS. Запустите reg файл и подтвердите внесение информации в реестр. Сделайте проверку системы на ошибки с исправлением ошибок chkdsk сделайте проверку целостности системы. sfc /scannow Возможно есть какая проблема с Windef Windows Defender: Error #0x80070002 Наличие ссылок на этот файл указывает на то, что было заражение майнером Jhon FirewallRules: [{E276A868-D312-4A72-8D23-8AE47D664E1A}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла попробуйте это лекарство. Скачайте AV block remover (или с зеркала). Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем. Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads). В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

А, до этого запускал отслеживание. Случайно вышло. Удалил.

Этот файл удалите вручную C:\Windows\system32\rfxvmt.dll отслеживание зачем запустили. запросили обычный образ автозапуска. без отслеживания. Отслеживание задач: 1 Отслеживание запуска процессов: 1 Отслеживание завершения процессов: 1 Отслеживание командной строки процессов: 0

Доброй ночи! Остановился на удалении ссылок на DLL (сервисы не тронуты), удалил. Готово. 2025-08-24_03-45-10_log.txt FRST.txt

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. Роман2550 (56)Гуля Наильевна Бурлакова (34)

Aida64 зачем у вас в автозапуске, тем более без цифровой Startup: C:\Users\Specter\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\aida64.exe [2025-07-13] (FinalWire Ltd.) [Файл не подписан] Startup: C:\Users\Specter\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\aida64.ini [2025-08-21] () [Файл не подписан] ---------------- выполните очистку системы: Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу без перезагрузки системы. Архив ZOO*** из папки, откуда запускаете uVS загрузите на облачный диск и дайте ссылку на скачивание. здесь.

По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы HKLM-x32\...\Run: [] => [X] HKLM\...\RunOnce: [39e74cf6-55fa-4ef5-8891-52b7d423d803] => "C:\Users\logout\AppData\Local\Temp\{c343837d-a2f4-4073-83b8-bc371587bb2a}\39e74cf6-55fa-4ef5-8891-52b7d423d803.cmd" (Нет файла) <==== ВНИМАНИЕ HKLM\...\RunOnce: [fd2222d5-356a-4c71-8488-12a615617cf9] => "C:\Users\logout\AppData\Local\Temp\{cabda475-14dc-4a60-a390-5d9dbd8848c2}\fd2222d5-356a-4c71-8488-12a615617cf9.cmd" (Нет файла) <==== ВНИМАНИЕ HKLM\...\RunOnce: [06657843-f143-4718-8ab0-d72327c12f3f] => "C:\Users\logout\AppData\Local\Temp\{25b928a8-f41e-4f3a-b0e2-73a6725a843a}\06657843-f143-4718-8ab0-d72327c12f3f.cmd" (Нет файла) <==== ВНИМАНИЕ HKLM\...\RunOnce: [f406c3d8-1b49-48a5-856f-68cc6d91e24f] => "C:\Users\logout\AppData\Local\Temp\{588f5803-fecf-4cf0-b768-c1548b36d3d2}\f406c3d8-1b49-48a5-856f-68cc6d91e24f.cmd" (Нет файла) <==== ВНИМАНИЕ HKLM\...\RunOnce: [ed11e0b7-12fd-4d64-8c57-52c0655bf5db] => "C:\Users\logout\AppData\Local\Temp\{aa4d5a3e-d028-461a-8a0b-e1c2647c20a3}\ed11e0b7-12fd-4d64-8c57-52c0655bf5db.cmd" (Нет файла) <==== ВНИМАНИЕ HKLM\...\RunOnce: [6e0a54ee-1056-4236-939c-e2c090a9c082] => "C:\Users\logout\AppData\Local\Temp\{15c0d5a5-7a0d-48d0-9ed5-97bbba1573ee}\6e0a54ee-1056-4236-939c-e2c090a9c082.cmd" (Нет файла) <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ Task: {44BB9BAB-DAB1-47FC-B21B-9FBB2D7D6897} - System32\Tasks\DuJlWwvV => C:\Windows\system32\cmd.exe [289792 2024-09-03] (Microsoft Windows -> Microsoft Corporation) -> /C powershell.exe -noni -nop -w 1 -enc IABjAC4AZQB4AGUAIAAtAGYAdQBsAGwAaQBuAHMAdABhAGwAbAA= > \Windows\Temp\tvOuZI 2>&1 <==== ВНИМАНИЕ Task: {FFCF7671-8203-4365-82CB-A21FD88F4D68} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1945624045-1199837794-592266151-1104 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Нет файла) <==== ВНИМАНИЕ Task: {63F8B78C-978E-4C0B-805D-4421EDDF56DB} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1945624045-1199837794-592266151-3389 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Нет файла) <==== ВНИМАНИЕ Task: {BF32F856-2799-45CE-9044-866C666919E8} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-2898191034-3396799920-1222824162-1002 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Нет файла) <==== ВНИМАНИЕ Task: {76667198-4A30-4B9A-AA44-0B6B48BEAF56} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1945624045-1199837794-592266151-1104 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Нет файла) <==== ВНИМАНИЕ Task: {B940DB65-16D4-4BDC-9918-A3D415B83E16} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1945624045-1199837794-592266151-3389 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Нет файла) <==== ВНИМАНИЕ Task: {CC2228A3-19A5-4366-A828-5E40E3E9467F} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-2898191034-3396799920-1222824162-1002 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Нет файла) <==== ВНИМАНИЕ Task: {2521FB41-73E2-4A3E-8F54-50BC95489C7D} - System32\Tasks\OneDrive Startup Task-S-1-5-21-1945624045-1199837794-592266151-1104 => C:\Users\logout\AppData\Local\Microsoft\OneDrive\25.140.0720.0001\OneDriveLauncher.exe /startInstances (Нет файла) Task: {AF025E4C-7165-43BE-980B-D1237E5BEB78} - System32\Tasks\WymQbhCl => C:\Windows\system32\cmd.exe [289792 2024-09-03] (Microsoft Windows -> Microsoft Corporation) -> /C c.exe -fullinstall > \Windows\Temp\CKnGAJ 2>&1 <==== ВНИМАНИЕ 2025-08-22 14:19 - 2025-08-22 14:22 - 000000000 ____D C:\Users\logout\Desktop\1 Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

С Днём Рождения!

Но ведь это не государственное ПО. Оно такое же государственное, как РуСтор или антивирус Касперского. https://t.me/mydaybug/518 В общем, подпишитесь, будет полезно. Приеду из Дагестана, напишу вторую часть.

Здесь есть шифрование. Проверьте ЛС.