Активность

По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\...\Run: [lucky_john.exe] => C:\Users\noname\AppData\Local\How-to-decrypt.txt [1454 2025-09-26] () [Файл не подписан] HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your PC. Policies: C:\Users\buh_cheb_1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_cheb_2\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_cheb_4\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_14\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_15\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_150\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_151\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_152\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_153\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_17\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_18\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_21\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_33\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_43\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_45\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_46\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_48\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_52\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_yar_1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_yola_2\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\slavin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\victor\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ 2025-09-26 04:36 - 2025-09-26 08:58 - 000001454 _____ C:\How-to-decrypt.txt 2025-09-26 04:36 - 2025-09-26 04:36 - 000000000 ____D C:\temp 2025-09-26 04:35 - 2025-09-26 04:35 - 000000000 ____D C:\Users\noname\WINDOWS 2025-09-26 04:34 - 2024-05-21 17:34 - 000128000 _____ C:\NS v.2.exe 2025-09-29 15:10 - 2024-02-05 13:24 - 000000000 __SHD C:\Users\noname\AppData\Local\51271509-366D-30C9-038E-A0FA16B1DDED Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Addition.txt FRST.txt

Нет, на некоторых только. На счет UDP портов проверю обязательно, Спасибо

Хорошо. Примите к сведению - Рекомендации после удаления вредоносного ПО

Вообще то FRST карантин все файлы, которые удаляются. Вот именно в это место. C:\FRST\Quarantine

Всё выполнили, больше такого ничего не выходило. Мониторил все выходные. Благодарю за помощь.

да уж, судя по логу KRD разворошили осинное гнездо. Имеет смысл прогнать еще в KVRT из нормального режима. детект Backdoor.Win32.DarkKomet.hqxy может быть так же связан с файловым заражением исполняемых файлов. После проверки в KVRT сделайте дополнительно логи FRST

Проблема массовая или только на некоторых хостах? Видимо со стороны сервера KSC до хоста не открыт UDP 15000.

Посмотрим такой лог: Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS). Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме. Подробнее читайте в руководстве Как подготовить лог UVS.

Программы удалил, но ссылка на инструкцию не открывается загрузилась, извините

Понятно. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО: Видны следы бывших установок антивирусов Avast и Norton. Очистите по соотв. инструкции - Чистка системы после некорректного удаления антивируса. После этого перезагрузите компьютер и соберите следующие логи: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

услуга для тарифа с пакетом минут, для классического не подойдёт

Добрый день, твики из архива применил. Проблема не решена, сейчас заново установил антивирус - он снова ругается на папку и программу. Она каждые несколько минут появляется даже если руками удалить ее.

Да. Это пк бухгалтера, тут стоит парус бюджет, эти файлики к нему относятся

Файлы ваши?

Готово CollectionLog-2025.09.29-13.49.zip

Здравствуйте! Вы ведь знаете Порядок оформления запроса о помощи

активировал.

Добрый день. Снова прошу помощи в борьбе с каким то процессом, который не видит антивир, который редиректит пк на http://62.60.249.65:8081/ при открытии сайтов.

Прошу активировать мою учётную запись.

Пробывал все также Обновил все также

Система загрузилась, прогнали ещё раз FRST, отчет приложили. FRST.txt Addition.txt

Спасибо, должно помочь. А вот подскажите что делать если агент администрирование включен. Но KES выключен\включен на разных устройствах. но ошибка одна и таже, обновлены не все компоненты. Устройства где kes выключен их нельзя включить, кнопки запуска не активны.

https://support.kaspersky.ru/ksc/15.1/troubleshooting/other/12776?page=kb

Это для вас тоже актуально. Сетевые права тоже нужно проверять.