Активность

Спасибо большое!

Расширение удалилось, а видимых проблем не было)

Хорошо. Проверьте и сообщите что сейчас с проблемой.

Fixlog.txt

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\pchfckkccldkbclgdepkaonamkignanh CHR HKU\S-1-5-21-2419835374-3112323553-1082855999-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] S3 HWiNFO_191; \??\C:\Users\User\AppData\Local\Temp\HWiNFO64A_191.SYS [X] <==== ВНИМАНИЕ 2024-09-28 13:55 - 2025-03-28 16:50 - 000000364 _____ () C:\Users\User\uTorrentPro.dat FirewallRules: [{645A8127-1A89-4C0B-A27D-509B0EC21E02}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла FirewallRules: [{E81CA03F-2600-4CFE-B819-C28466D5033F}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла FirewallRules: [{74E537F6-8549-4D75-90EE-29361C62F1FB}] => (Allow) D:\Steam\steamapps\common\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => Нет файла FirewallRules: [{4DB5B34E-5143-4BA0-ABC6-53403B930B81}] => (Allow) D:\Steam\steamapps\common\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => Нет файла FirewallRules: [{657FA452-C9C3-4543-97E0-45FF600018F2}] => (Allow) D:\Steam\steamapps\common\Euro Truck Simulator 2\bin\win_x86\eurotrucks2.exe => Нет файла FirewallRules: [{43003D22-F04D-4E8C-80F3-142A36561C9E}] => (Allow) D:\Steam\steamapps\common\Euro Truck Simulator 2\bin\win_x86\eurotrucks2.exe => Нет файла FirewallRules: [{04C32040-660A-4B6F-93D3-2F352D91C1D0}] => (Allow) D:\Steam\steamapps\common\Fallout 3\Fallout3Launcher.exe => Нет файла FirewallRules: [{297E6B3A-FEA7-4F3F-9D85-607A999564C1}] => (Allow) D:\Steam\steamapps\common\Fallout 3\Fallout3Launcher.exe => Нет файла FirewallRules: [{CF182361-1929-4AAA-83CD-3CD7F44A229C}] => (Allow) D:\Steam\steamapps\common\PAYDAY 2\payday2_win32_release.exe => Нет файла FirewallRules: [{985C8016-DEA5-4928-96ED-B4B96F5382AA}] => (Allow) D:\Steam\steamapps\common\PAYDAY 2\payday2_win32_release.exe => Нет файла FirewallRules: [{B6BEC3CD-F079-4305-AE3C-B39E78EA94DF}] => (Allow) D:\Prog\Zona\Zona.exe => Нет файла FirewallRules: [{9EFBB1E8-E914-49E0-9F72-4095D251C8E5}] => (Allow) D:\Prog\Zona\Zona.exe => Нет файла startbatch: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" endbatch: ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

расширение legal-cache - корпоративное расширение, устанавливал самостоятельно Addition.txt FRST.txt

Добрый день. Помогите, пожалуйста, расшифровать файлы на ПК. Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа. Заранее спасибо. AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt FRST.txt

Понятно. "Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = localhost R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = hxxp://127.0.0.1:10809 (disabled) O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0 O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0 O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1 O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1 O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 0 O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1 O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiSpyware] = 1 O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiVirus] = 1 O22 - Tasks: Disable Update Center - C:\Windows\system32\cmd.exe /C IF /I "x86"=="x86" (C:\Windows\Control_OSServices\UpdateCenter\Wub.exe /D /P) ELSE (C:\Windows\Control_OSServices\UpdateCenter\Wub_x64.exe /D /P) (sign: 'Microsoft') O26 - Debugger: HKLM\..\EOSnotify.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\InstallAgent.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\MusNotification.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\MusNotificationUx.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\remsh.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\SihClient.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\UpdateAssistant.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\upfc.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\UsoClient.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\WaaSMedic.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\WaasMedicAgent.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\Windows10Upgrade.exe: [Debugger] = / (file missing) O26 - Debugger: HKLM\..\Windows10UpgraderApp.exe: [Debugger] = / (file missing) Перезагрузите компьютер. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

Ночью 15.08.2025 судя по всему через RPD смогли подключиться на рабочий комп, закинули софт. Нашел папку с переборщиком паролей, взломом профилей. Просканили всю сеть, подобрали пароль к учетке Админа и запустили шифрование. компов 8 включая файловое хранилище пострадали. Какие были выключены - с теми нормально. Какие утром успел вырубить - вроде тоже живые. Сорвался после звонка, примчался в офис - вырубил всю сеть и инет. Потом по мере анализа с CureIt включал по одному те, которые на вид чистые. Анализ FarBar прикладываю. Нужна помощь прежде всего в лечении, а потом уже в расшифровке Addition.txt FRST.txt

Отчет с утилиты. ESVC_SPBSQLOK_20250815104226.zip

Не припомню, чтобы сам отключал, но не уверен. Сейчас указано, что организация приостановило автообновление. Организации у меня нет, комп домашний. Возможно это дефолтные настройки моей сборки винды.

Здравствуйте! Смотрю логи, подождите некоторое время. Обновление системы отключали самостоятельно?

Расшифруем. Чуть позже. [+] Victim ID: 2fSF4ErH7XaLogim63hTWw8FGNGDrCtPN9ZwDbicp1u124AhHYNj9GM8nwuEKBwxx6YLr8yJM5cusE7roFpufP2UfV --- [+] Your key : Е0░ACсUZ6 --------------

Сегодня, после выхода компьютера из спящего режима было установлено расширение "Визуальные закладки" pchfckkccldkbclgdepkaonamkignanh . Ранее уже были проблемы с автоматической установкой вредоносных расширений. Проверка drWeb: Для программы ThrottleStop я сам делал .bat файл, и добавлял его в автозагрузку. Возможно, поэтому drWeb и ругается CollectionLog-2025.08.15-11.15.zip

Выполните Правила оформления запроса о помощи Все необходимое прикрепите к следующему сообщению в текущей теме.

Загрузите, пожалуйста, этот файл на сайт www.virustotal.com, подождите некоторое время и ссылку на результат анализа скопируйте в ваше следующее сообщение.

Сделайте это, пожалуйста.

Прикладываю содержимое. Что это, не могу сказать. Папка скрытая. 40f0451b.051.rar

напрямую подключить не могу. роутер в прихожей под потолком и кабель приходит и втыкается в роутер а потом в роутер втыкается кабель от пк в этом то и проблема. У меня есть папка в ней все программы...мммм... как это по вашему.. ну где написано .exe, нажимаю на нее и программа устанавливается заново. Теперь еще и Это выскакивает постоянно

Чтобы это проверить, подключите сеть к компьютеру напрямую, без роутера и проверьте. Результат сообщите. Если всё равно будет открываться страница, удалите старые и соберите новые логи FRST.txt и Addition.txt Опишите, пожалуйста, подробно - где вы её берёте (желательно указать ссылку на скачивание) и как устанавливаете?

но она была удалена. Она у меня стояла на рабочем столе и пропала как и в прошлые разы. И еще, сегодня открыл Хром и у меня опять открылась страница https://1clickvpn.net. Мне ставили ВПН на роутер чтобы смотреть ютуб но до конца не сделали может из за этого выскакивать?

Исправьте по возможности: Docker Desktop v.4.37.1 Внимание! Скачать обновления Notepad++ (64-bit x64) v.8.7.4 Внимание! Скачать обновления Microsoft 365 - ru-ru v.16.0.18429.20158 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ 7-Zip 21.06 v.21.06 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ Discord v.1.0.9177 Внимание! Скачать обновления Zoom v.5.14.5 (15287) Внимание! Скачать обновления AmneziaWG v.1.0.0 Внимание! Скачать обновления Google Chrome v.139.0.7258.127 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О браузере Google Chrome!^ ---------------------------- [ UnwantedApps ] ----------------------------- Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Читайте Рекомендации после удаления вредоносного ПО

С Днём Рождения!

В этой папке что у вас? 2025-08-12 11:20 - 2025-08-12 11:20 - 000000000 _RSHD C:\ProgramData\Key-Base

+ дополнительно сделайте образ автозапуска системы. Сделайте дополнительно образ автозапуска в uVS: Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса. 1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог. 2. запустите из каталога с модулями uVS файл Start.exe (для Vista, W7- W11 выберите запуск от имени Администратора) 3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора) 3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4 Если запросили образ автозапуска с отслеживанием процессов и задач: В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. 4. Далее, меню "Файл" / Сохранить Полный образ автозапуска. 5. Дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)