Активность

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;Прикрепите этот файл в своем следующем сообщении.

Скачайте AV block remover. Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AVbr123.exe (или любое другое имя). Если и так не запускается, запустите его в безопасном режиме с поддержкой сети. В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

Да, спасибо большое

Нет, не нужно. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

FRST.txt and Addition.txt.rar

Проблема решена?

CollectionLog-2025.07.19-00.00.zip Архив quarantine.7z создается с пустой директорией с названием 2025-07-18 внутри. Всё равно приложить его?

Заметил что ноутбук постоянно выдаёт синий экран и не могу запустить приложение Armoury Crate, хотел просканировать, не могу скачать антивирус, закрывается браузер, закрывается диспетчер задач, в безопасности виндовс стоят исключения, которые я не могу выключить(приложил фото). Сделал все по инструкции и добавил архив. И фото. Подскажите ещё как в дальнейшем себя обезопасить. Windows 11 pro. Благодарю заранее. CollectionLog-2025.07.18-23.52.zip

Fixlog.txt

Каждый случай индивидуален, а выполнение написанного не для Вас чревато последствиями в работе системы. Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\ProgramData\CAAService\CAAServices.exe',''); DeleteFile('C:\ProgramData\CAAService\CAAServices.exe','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CAA Service','x64'); DeleteSchedulerTask('Microsoft\Office\Office Persistent Activation'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end.Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ ло-ги.

Здравствуйте! Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются. Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe" Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются. Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума. Заранее благодарю за помощь. CollectionLog-2025.07.18-23.17.zip Addition.txt FRST.txt

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: 2025-07-12 15:41 - 2025-07-18 15:40 - 000000000 ____D C:\ProgramData\WinAIHService 2025-07-12 04:23 - 2019-12-07 13:14 - 000000000 __RHD C:\Users\Public\Libraries C:\Users\user\Desktop\Рабочий стол 2\мозгигры\Игры по сети.lnk C:\Users\user\Desktop\Рабочий стол 2\мозгигры\Мир танков.lnk C:\Users\user\Desktop\Рабочий стол 2\не биба\Браузер Opera GX.lnk C:\Users\user\Desktop\Рабочий стол 2\не биба\Браузер Opera.lnk C:\Users\user\Desktop\Рабочий стол 2\мега кака 2287\поск\Браузер Opera.lnk AlternateDataStreams: C:\Users\user\Downloads\DiscordSetup.exe:MBAM.Zone.Identifier [155] AlternateDataStreams: C:\Users\user\Downloads\EpicInstaller-18.7.0.msi:MBAM.Zone.Identifier [245] AlternateDataStreams: C:\Users\user\Downloads\NVIDIA_app_v11.0.4.159.exe:MBAM.Zone.Identifier [154] AlternateDataStreams: C:\Users\user\Downloads\OperaGXSetup.exe:MBAM.Zone.Identifier [289] AlternateDataStreams: C:\Users\user\Downloads\qbittorrent_5.1.2_x64_setup.exe:MBAM.Zone.Identifier [210] AlternateDataStreams: C:\Users\user\Downloads\VisualStudioSetup.exe:MBAM.Zone.Identifier [377] FirewallRules: [{f14bf2a1-c151-467c-acca-dfc519b9bfb9}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{c27cbcef-0f2c-4c15-a993-546f6dad403d}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{0207d72f-e167-4581-a748-bbe1415277f0}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{e5d9990f-3238-4435-9bd3-405807be8c8c}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{941bd6a6-ea3a-43e2-bff5-dddca7a38f93}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{41677910-6e9e-48b7-bcf1-baed46e4386d}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{d51c1c81-5474-40cd-ae72-940408d325e2}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{8908b6ec-84ac-41ba-8fee-e034ec034651}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{4f1048d3-b85b-4f28-a4d7-83a929dc1135}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{8e300362-5686-49b7-b2aa-f2819cd530dd}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{a875f629-05dd-44af-b72f-7185c43d9232}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{9b12ce98-6675-43d8-baa1-31d60fd47cdb}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{d0bbc112-9340-40e4-be66-d71b58e4c660}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{f9088267-ad8f-4e00-bfbf-fb1b149f647e}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{ed0dae79-4f73-49a2-9c63-cb0d9d2dd3da}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{036a74d7-1083-4dea-b85f-8d0b957b036c}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{e7ffc482-65ad-4cf6-9227-de3a589f58ac}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{39ad21e3-692c-41b5-b88e-1992bd49d233}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохра-ните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Ес-ли Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Толь-ко одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запуще-на программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообще-нию.

Заметил что в простое происходит сильный нагрев и съедается около 20% процессора. После поисков проблем обнаружил 2 dwm.exe процесса один из которых и берёт на себя нагрузку. После прочтения нескольких статей форума не смог лично разобраться в решении проблемы. CollectionLog-2025.07.18-20.40.zip

@RomanK, есть расшифровка. Если сохранились зашифрованные данные, обращайтесь.

@George Ntaskas, hi, We have now decryption for your files.

@08Sergey, здравствуйте! Хорошая новость, появилась расшифровка для Ваших файлов.

На экране такое сообщение If you are reading this message, it means that: - your network infrastructure has been compromised, - critical data was leaked, - files are encrypted The best and only thing you can do is to contact us to settle the matter before any losses occurs. If You Want To Restore Them Telegram Us : https://t.me/Cherchil_77777 If You Do Not Receive A Response Within 24 Hours,contact via Tox ID: 07D7265E401740576800D6EFA975466C67889A7A0499884FDBB829DBB00F85254BC35D22D0B3 DESKTOP-PFHIAKO_2025-07-18_18-19-06_v5.0.RC4.v x64.7z

Хорошо, образ сделайте, но я проверить могу только завтра.

FRADD.zip

Fixlog.txt

@JIEXA, здравствуйте! Ваши расшифрованные файлы.

1, Выполните скрипт очистки в FRST 2. Соберите образа автозапуска в uVS для проверки драйверов, возможно что они чистые. С расшифровкой файлов, к сожалению, не сможем помочь без приватного ключа. теперь, когда ваши данные был зашифрованыs, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

@Александр_vgau, здравствуйте! Ваши расшифрованные файлы.