Активность

CollectionLog-2025.07.18-16.17.zip

Здравствуйте. Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\ProgramData\WinAIHService\WinAIHService.exe',''); DeleteFile('C:\ProgramData\WinAIHService\WinAIHService.exe','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Win AIH Service','x64'); DeleteSchedulerTask('Microsoft\Office\Office Persistent Activation'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end.Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ ло-ги.

Никак не могу удалить. Майнер возвращается после перезапуска системы CollectionLog-2025.07.18-15.25.zip

здесь все полезное уже зашифровано. 64.zip.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK попробуйте из карантина KVRT извлечсь файл 64.exe, антивирусную защиту временно отключить. Файл после извлечение переименовать в 64.vexe, и добавить в архив с паролем virus, Файл архива добавьте в ваше сообщение. Архив с файлом, и сам файл можно удалить и включить защиту.

архив загружен, файл удален

Эту папку заархивируйте с паролем virus, архив добавьте в ваше сообщение. 2025-07-18 10:37 - 2025-07-18 10:44 - 000000000 ____D C:\Users\Админ\Desktop\64 + файл 64.exe попробуйте восстановить из карантина KVRT, файл добавить в архив с паролем virus, и поместить в ваше сообщение.

Да. Удалил

А в KVRT было что-то найдено?

Сделал проверку KVRT, а после поставил Антивирус. Полная проверка занимала много времени, и я ее остановил. Быстрая проверка результата не дала. Во вложении отчет отчет.rar

Касперского поставили после шифрования файлов? Можете добавить отчет по обнаружению и сканированию в архиве, без пароля?

Перезалил в рхив Desktop.rar

Может, вы у себя вначале проверите, потом напишите пароль, или исправите вложение?

virus

Narkoz заблокирован за нарушение пункта 1 правил форума.

Пароль какой в архиву #readme.7z?

Пользователи на разных филиалах обнаружили у себя активность на ПК, думали, что это я подключился. После этих действий файлы стали зашифрованными. Все прикрепил. Прошу помочь. Спасибо!!! Всё сделал, как написано в правилах. #README.7z Addition.txt Cherchil_77777].7z FRST.txt

Строгое предупреждение от модератора thyrex Перечитайте написанное по ссылке в моем предыдущем сообщении. Следующее сообщение с нарушением правил приведет к закрытию темы.

Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы Лист Microsoft Office Excel.xlsx

Здравствуйте. Выполните Правила оформления запроса о помощи Новую тему создавать не нужно, прикрепите все необходимое к следующему сообщению в текущей теме.

Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы Лист Microsoft Office Excel.xlsx

Попытки поставить целевой фишинг на поток мы наблюдаем уже достаточно давно. Как правило, они ограничиваются чуть лучшей стилизацией писем под конкретную компанию, имитацией корпоративного отправителя при помощи методики Ghost Spoofing и персонализацией послания (которая в лучшем случае заключается в обращении к жертве по имени). Однако в марте этого года мы начали регистрировать крайне любопытную рассылку, в которой персонализирован был не только текст в теле писем, но и вложенный документ. Да и сама схема была не совсем типичной — в ней жертву пытались заставить ввести корпоративные учетные данные от почты под предлогом изменений HR-политики. Письмо от злоумышленников: просьба ознакомиться с новыми HR-гайдлайнами Итак, жертва получает письмо, в котором якобы представители HR, обращаясь по имени, просят ознакомиться с изменениями HR-политики, касающимися протоколов удаленной работы, доступных рабочих льгот и стандартов безопасности. Разумеется, любому сотруднику важны изменения такого рода, курсор так и тянет к приложенному документу (в названии которого, к слову, тоже есть имя получателя). Тем более в письме такая красивая плашка, в которой сказано, что отправитель подтвержденный, сообщение пришло из листа безопасных адресатов. Но как показывает практика, именно в таких случаях к письму стоит присмотреться повнимательнее. View the full article

Чего бы хотелось. Оперативной обратной связи. Чтобы рейтинг (в клабах) знать не через 2-3 месяца, а на текущий момент, пусть хотя бы и раз в месяц, т.е. 16 числа каждого месяца по той активности, которая завершена на текущий момент. Так как обратная связь либо мотивирует продолжать активность, либо нет, когда ее нет, или когда она идет с огромным временным отставанием. -------- Ну это выглядит примерно, как если бы в финале Кубка России по хоккею с шайбой, после завершения матча, ведущие объявляют, что счетная комиссия посчитает (через неделю - через месяц) количество бросков, заброшенных и пропущенных шайб с той и другой стороны, и объявит победителя, типа, все что было заброшено и пропущено, теперь уже никуда не пропадет. :). "все что было заброшено и пропущено не будет нами заброшено и пропущено".

@thyrex, описываемые тобой ситуации безусловно возможны, хотя это и форс-мажор. Вообще, на мой взгляд, потеря более суток будет означать некомпетентность тех. админов. Потому что бэкап базы данных должен делаться как минимум раз в сутки. У тебя есть конкретные предложения? Или что ты хочешь услышать?

С Днём Рождения!

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. marisha (43)Cracker (39)s5088042 (39)Евгений Михайлович Федоров (36)