Активность

Каждый случай индивидуален, а выполнение написанного не для Вас чревато последствиями в работе системы. Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\ProgramData\CAAService\CAAServices.exe',''); DeleteFile('C:\ProgramData\CAAService\CAAServices.exe','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CAA Service','x64'); DeleteSchedulerTask('Microsoft\Office\Office Persistent Activation'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end.Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ ло-ги.

Здравствуйте! Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются. Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe" Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются. Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума. Заранее благодарю за помощь. CollectionLog-2025.07.18-23.17.zip Addition.txt FRST.txt

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: 2025-07-12 15:41 - 2025-07-18 15:40 - 000000000 ____D C:\ProgramData\WinAIHService 2025-07-12 04:23 - 2019-12-07 13:14 - 000000000 __RHD C:\Users\Public\Libraries C:\Users\user\Desktop\Рабочий стол 2\мозгигры\Игры по сети.lnk C:\Users\user\Desktop\Рабочий стол 2\мозгигры\Мир танков.lnk C:\Users\user\Desktop\Рабочий стол 2\не биба\Браузер Opera GX.lnk C:\Users\user\Desktop\Рабочий стол 2\не биба\Браузер Opera.lnk C:\Users\user\Desktop\Рабочий стол 2\мега кака 2287\поск\Браузер Opera.lnk AlternateDataStreams: C:\Users\user\Downloads\DiscordSetup.exe:MBAM.Zone.Identifier [155] AlternateDataStreams: C:\Users\user\Downloads\EpicInstaller-18.7.0.msi:MBAM.Zone.Identifier [245] AlternateDataStreams: C:\Users\user\Downloads\NVIDIA_app_v11.0.4.159.exe:MBAM.Zone.Identifier [154] AlternateDataStreams: C:\Users\user\Downloads\OperaGXSetup.exe:MBAM.Zone.Identifier [289] AlternateDataStreams: C:\Users\user\Downloads\qbittorrent_5.1.2_x64_setup.exe:MBAM.Zone.Identifier [210] AlternateDataStreams: C:\Users\user\Downloads\VisualStudioSetup.exe:MBAM.Zone.Identifier [377] FirewallRules: [{f14bf2a1-c151-467c-acca-dfc519b9bfb9}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{c27cbcef-0f2c-4c15-a993-546f6dad403d}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{0207d72f-e167-4581-a748-bbe1415277f0}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{e5d9990f-3238-4435-9bd3-405807be8c8c}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{941bd6a6-ea3a-43e2-bff5-dddca7a38f93}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{41677910-6e9e-48b7-bcf1-baed46e4386d}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{d51c1c81-5474-40cd-ae72-940408d325e2}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{8908b6ec-84ac-41ba-8fee-e034ec034651}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{4f1048d3-b85b-4f28-a4d7-83a929dc1135}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{8e300362-5686-49b7-b2aa-f2819cd530dd}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{a875f629-05dd-44af-b72f-7185c43d9232}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{9b12ce98-6675-43d8-baa1-31d60fd47cdb}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{d0bbc112-9340-40e4-be66-d71b58e4c660}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{f9088267-ad8f-4e00-bfbf-fb1b149f647e}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{ed0dae79-4f73-49a2-9c63-cb0d9d2dd3da}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{036a74d7-1083-4dea-b85f-8d0b957b036c}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{e7ffc482-65ad-4cf6-9227-de3a589f58ac}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{39ad21e3-692c-41b5-b88e-1992bd49d233}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохра-ните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Ес-ли Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Толь-ко одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запуще-на программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообще-нию.

Заметил что в простое происходит сильный нагрев и съедается около 20% процессора. После поисков проблем обнаружил 2 dwm.exe процесса один из которых и берёт на себя нагрузку. После прочтения нескольких статей форума не смог лично разобраться в решении проблемы. CollectionLog-2025.07.18-20.40.zip

@RomanK, есть расшифровка. Если сохранились зашифрованные данные, обращайтесь.

@George Ntaskas, hi, We have now decryption for your files.

@08Sergey, здравствуйте! Хорошая новость, появилась расшифровка для Ваших файлов.

На экране такое сообщение If you are reading this message, it means that: - your network infrastructure has been compromised, - critical data was leaked, - files are encrypted The best and only thing you can do is to contact us to settle the matter before any losses occurs. If You Want To Restore Them Telegram Us : https://t.me/Cherchil_77777 If You Do Not Receive A Response Within 24 Hours,contact via Tox ID: 07D7265E401740576800D6EFA975466C67889A7A0499884FDBB829DBB00F85254BC35D22D0B3 DESKTOP-PFHIAKO_2025-07-18_18-19-06_v5.0.RC4.v x64.7z

Хорошо, образ сделайте, но я проверить могу только завтра.

FRADD.zip

Fixlog.txt

@JIEXA, здравствуйте! Ваши расшифрованные файлы.

1, Выполните скрипт очистки в FRST 2. Соберите образа автозапуска в uVS для проверки драйверов, возможно что они чистые. С расшифровкой файлов, к сожалению, не сможем помочь без приватного ключа. теперь, когда ваши данные был зашифрованыs, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

@Александр_vgau, здравствуйте! Ваши расшифрованные файлы.

Что мне дальше делать с этим?

По очистке системы от файлов шифровальщика: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM-x32\...\Run: [] => [X] Startup: C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\#README.hta [2025-07-18] () [Файл не подписан] HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-2312955964-2356314201-1808932627-1001\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ S2 luminati_net_updater_win_mediaget_com; "C:/Users/Админ/MediaGet2/Luminati-m/net_updater32.exe" --updater win_mediaget.com [X] 2025-07-18 10:37 - 2025-07-18 10:44 - 000000000 ____D C:\Users\Админ\Desktop\64 Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Если нужна проверка системы на наличие другого вредоносного кода: Сделайте в uVS дополнительно образ автозапуска. Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса. 1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог. 2. запустите из каталога с модулями uVS файл Start.exe (для Vista, W7- W11 выберите запуск от имени Администратора) 3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора) 3.1 Если запросили образ автозапуска с отслеживанием процессов и задач: В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, (3.1 пропускаем) 4, 5, 6. Если запросили обычный образ автозапуска, переходим сразу к п.4 4. Далее, меню "Файл" / Сохранить Полный образ автозапуска. 5. Дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Не знаю, Это ПК Касса в магазине цифровой техники с базой 1С

@vmax, здравствуйте! Хорошая новость, появилась расшифровка:

Сэмпл шифровальщика: https://www.virustotal.com/gui/file/5b934bb39c833fac11bfab1804b2f0e5276a7c37166dfe0b05a9ae3f962fad1f?nocache=1 Много драйверов неподписанных в системе, что это может быть?

Сейчас

Проблема решена, только решение не очень... начать всё сначала Ровно месяц общался с поддержкой, в итоге всё начать с начала по инструкции: https://support.kaspersky.com/KSCLinux/15.3/ru-RU/294125.htm НО сначала выполнить пункты с 1 по 5, потом 7 (установка Web KSC), в конце пункт 6 (Восстановление данных из резервной копии).

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Толь-ко одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запуще-на программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообще-нию.

CollectionLog-2025.07.18-16.17.zip

Здравствуйте. Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\ProgramData\WinAIHService\WinAIHService.exe',''); DeleteFile('C:\ProgramData\WinAIHService\WinAIHService.exe','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Win AIH Service','x64'); DeleteSchedulerTask('Microsoft\Office\Office Persistent Activation'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end.Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ ло-ги.