Активность

Систему не сканировали, чтобы не повредить файлы

Угроз не обнаружено как говорит Dr Web Cureit. Значит ли это что всё хорошо? Не спрятался ли где то Tool.btcmine.2714 или Trojan.Siggen31.46344?

Хорошо. Что в итоге с проблемой?

AV_block_remove_2025.09.15-14.21.log

Хорошо. Ещё такую операцию выполните. Скачайте AV block remover (или с зеркала). Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем. Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads). В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

Fixlog.txt

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-1276595641-70118687-608077359-1001\...\MountPoints2: {8255f7e3-9e06-11ec-b22a-18c04def5baa} - "F:\setup.exe" HKU\S-1-5-21-1276595641-70118687-608077359-1001\...\MountPoints2: {d7f67ee2-3bb0-11ef-b676-806e6f6e6963} - "E:\AutoRun.exe" HKU\S-1-5-21-1276595641-70118687-608077359-1001\...\MountPoints2: {ff8f870a-09d5-11ee-b490-ac7deba79d9c} - "E:\AutoRun.exe" GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ C:\Users\Kostya\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\adejhkgdjioiannjgfglljoopbkihfgg C:\Users\Kostya\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hjfhbdephncmhdmomijibpmfiodgjkmm C:\Users\Kostya\AppData\Local\Google\Chrome\User Data\Default\Extensions\baeijkncbeakfndflpmoocnlefjefngo C:\Users\Kostya\AppData\Local\Google\Chrome\User Data\Default\Extensions\ohainihilgojggphfdfhanacdapeokml C:\Users\Kostya\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec C:\Users\Kostya\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\hcidjpebmdbielhakekkecimenebhocd C:\Users\Kostya\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\amcjpdiefmhplokejfgcincodlbcifhd C:\Users\Kostya\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec CHR HKU\S-1-5-21-1276595641-70118687-608077359-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec] CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb] 2024-09-22 16:11 - 2024-09-27 20:57 - 000000343 _____ () C:\ProgramData\temp_Delete.bat 2024-09-22 16:11 - 2024-09-27 20:57 - 000000096 _____ () C:\ProgramData\temp_runbat.vbs 2025-07-27 00:22 - 2025-07-27 00:22 - 000000599 _____ () C:\Users\Kostya\setup.dat 2024-05-16 23:51 C:\Program Files\AVAST Software 2024-05-16 23:51 C:\Program Files\AVG 2024-05-16 23:51 C:\Program Files\Bitdefender Agent 2024-05-16 23:51 C:\Program Files\ByteFence 2024-05-16 23:51 C:\Program Files\Cezurity 2024-05-16 23:51 C:\Program Files\COMODO 2024-05-16 23:51 C:\Program Files\DrWeb 2024-05-16 23:51 C:\Program Files\Enigma Software Group 2024-05-16 23:51 C:\Program Files\EnigmaSoft 2024-05-16 23:51 C:\Program Files\ESET 2024-05-16 23:51 C:\Program Files\HitmanPro 2024-05-16 23:51 C:\Program Files\Loaris Trojan Remover 2024-05-16 23:51 C:\Program Files\Malwarebytes 2024-05-16 23:51 C:\Program Files\NETGATE 2024-05-16 23:51 C:\Program Files\Process Hacker 2 2024-05-16 23:51 C:\Program Files\Process Lasso 2024-05-16 23:51 C:\Program Files\QuickCPU 2024-05-16 23:51 C:\Program Files\Rainmeter 2024-05-16 23:51 C:\Program Files\Ravantivirus 2024-05-16 23:51 C:\Program Files\RogueKiller 2024-05-16 23:51 C:\Program Files\SpyHunter 2024-05-16 23:51 C:\Program Files\SUPERAntiSpyware 2024-05-16 23:51 C:\Program Files\Transmission 2024-05-16 23:51 C:\Program Files (x86)\360 2024-05-16 23:51 C:\Program Files (x86)\AVAST Software 2024-05-16 23:51 C:\Program Files (x86)\AVG 2024-05-16 23:51 C:\Program Files (x86)\Cezurity 2024-05-16 23:51 C:\Program Files (x86)\GPU Temp 2024-05-16 23:51 C:\Program Files (x86)\GRIZZLY Antivirus 2024-05-16 23:51 C:\Program Files (x86)\Microsoft JDX 2024-05-16 23:51 C:\Program Files (x86)\Moo0 2024-05-16 23:51 C:\Program Files (x86)\Panda Security 2022-10-21 22:45 C:\Program Files (x86)\SpeedFan 2024-05-16 23:51 C:\Program Files (x86)\SpyHunter 2024-05-16 23:51 C:\Program Files (x86)\Transmission 2024-05-16 23:54 C:\Program Files\Common Files\AV 2024-05-16 23:51 C:\Program Files\Common Files\Doctor Web 2024-05-16 23:51 C:\Program Files\Common Files\McAfee 2024-05-16 23:51 C:\ProgramData\360safe 2024-05-16 23:51 C:\ProgramData\AVAST Software 2024-05-16 23:51 C:\ProgramData\Avira 2024-05-16 23:51 C:\ProgramData\BookManager 2022-09-30 20:33 C:\ProgramData\Doctor Web 2024-05-16 23:51 C:\ProgramData\ESET 2024-05-16 23:51 C:\ProgramData\Evernote 2024-05-16 23:51 C:\ProgramData\FingerPrint 2024-05-16 23:51 C:\ProgramData\grizzly 2024-05-16 23:51 C:\ProgramData\McAfee 2024-03-24 14:44 C:\ProgramData\Norton 2024-05-16 23:51 C:\ProgramData\princeton-produce 2024-05-16 23:51 C:\ProgramData\PuzzleMedia 2024-05-16 23:51 C:\ProgramData\RobotDemo 2024-05-16 23:51 C:\ProgramData\WavePad 2024-05-16 23:51 C:\Users\Kostya\AppData\Roaming\Sysfiles AV: ESET Security (Enabled - Up to date) {DF8BEACB-94C9-218A-73AD-A78362A8C516} AV: Kaspersky (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23} AV: ESET Security (Enabled - Up to date) {26E0861C-6FB9-CEF9-E4F0-531986211ACE} FW: Kaspersky (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58} FW: ESET Файервол (Enabled) {E7B06BEE-DEA6-20D2-58F2-0EB69C7B826D} FW: ESET Файервол (Enabled) {1EDB0739-25D6-CFA1-CFAF-FA2C78F25DB5} ContextMenuHandlers1: [Kaspersky Plus 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => -> Нет файла ContextMenuHandlers2: [ESET Security Shell] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} => C:\Program Files\ESET\ESET Security\shellExt.dll -> Нет файла ContextMenuHandlers2: [Kaspersky Plus 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => -> Нет файла ContextMenuHandlers4: [Kaspersky Plus 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => -> Нет файла ContextMenuHandlers6: [Kaspersky Plus 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => -> Нет файла AlternateDataStreams: C:\Users\Kostya:Heroes & Generals [38] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [872] AlternateDataStreams: C:\Users\Kostya\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\Kostya\Application Data:NT [40] AlternateDataStreams: C:\Users\Kostya\Application Data:NT2 [872] AlternateDataStreams: C:\Users\Kostya\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\Kostya\AppData\Roaming:NT [40] AlternateDataStreams: C:\Users\Kostya\AppData\Roaming:NT2 [872] AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8892] FirewallRules: [{153A70C3-52E5-4171-9E9F-A8230533BBDA}] => (Allow) LPort=2869 FirewallRules: [{0828AB7F-C06F-44E9-82DE-E42D86C2C6CC}] => (Allow) LPort=1900 FirewallRules: [{C632B3C9-DA9F-4F09-8677-76B529AA60FD}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла FirewallRules: [{5B722CA8-FA5F-4E4B-B61E-3392606C8337}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла FirewallRules: [{99B2626D-F527-4FA1-BEDF-8308C345C341}] => (Block) LPort=445 FirewallRules: [{6A51FC24-3CA7-4CBB-AFD4-EF4B08AB7E7C}] => (Block) LPort=445 FirewallRules: [{07315864-7C53-4D8F-B071-934AA9F12ABE}] => (Block) LPort=139 FirewallRules: [{9251BB14-0ECB-436B-B829-6B027F4273B8}] => (Block) LPort=139 FirewallRules: [{52C8B54A-376D-4030-946A-61F40C8F6003}] => (Allow) LPort=3389 cmd: ipconfig /flushdns EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

Видео с официального канала на Rutube: https://rutube.ru/video/0d3e7a3c620f390ce966c33741c09619/?r=wd

Addition.txt FRST.txt

Если систему сканировали KVRT, Cureit или штатным антивирусом, добавьте логи и отчеты по сканированию, в архиве, без пароля.

Спасибо! Снова запускать скрипт не нужно. Утилитой HiJackThis из новой папки Автологера сделайте: "Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): O26-32 - Office Addin: HKLM\..\ESET.OutlookAddin - (ESET Outlook Add-in) -> (no file) O27 - Account: (Hidden) User 'John' is invisible on logon screen O27 - Account: (RDP Group) User 'John' is a member of Remote desktop group O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0 O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications) O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\Windows\system32\svchost.exe O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\Windows\system32\svchost.exe Перезагрузите компьютер. Далее: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

Скинул лог из новой версии. Нужно ли в новой версии снова запускать скрипт что вы скинули? CollectionLog-2025.09.15-13.02.zip

Друзья! Публикуем верные ответы на вопросы викторины. Поздравляем победителей!

В наших правилах такого сайта нет. Вот правильная ссылка: https://safezone.cc/resources/autologger-regist-drongo.59/ + Не нужно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

Загрузил новый лог. По поводу версии — я качал с сайта hxxps://autologger.ru/ CollectionLog-2025.09.15-12.41.zip

Добрый день, словили шифровальщика, возможно ли помочь?Shortcut.txtFRST.txtНовая папка.zipAddition.txt Во вложении 2 зашифрованных файла, 1 так же расшифровал злоумышленник (внутри) 2 вида запроса о выкупе а так же логи пароль на архив стандартный (virus)

дополнительно сделайте образ автозапуска системы в uVS. Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса. 1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог. 2. запустите из каталога с модулями uVS файл Start.exe (для Vista, W7- W11 выберите запуск от имени Администратора) 3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора) 3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4 Если запросили образ автозапуска с ! отслеживанием процессов и задач !: В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. 4. Далее, меню "Файл" / Сохранить Полный образ автозапуска. 5. Дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Экспортируйте отчёт антивируса в текстовый файл и прикрепите к следующему сообщению. Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKU\S-1-5-21-3186730508-4205655915-3652150450-1002\...\MountPoints2: {e0b1001b-04bc-11f0-b9b9-c88a9a1b2cf8} - "E:\setup.EXE" /AUTORUN ProxyEnable: [S-1-5-21-3186730508-4205655915-3652150450-1002] => Proxy включён ProxyServer: [S-1-5-21-3186730508-4205655915-3652150450-1002] => 127.0.0.1:10808 ManualProxies: 1127.0.0.1:10808 <==== ВНИМАНИЕ RemoveProxy: ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

Я в первый раз случайно запустил hijackthis с антивирусом и он нашёл PDM:Exploit.Win32.Generic. Так и должно быть? FRST.txt Addition.txt

ну правильно пишут, как вариант. Характеристики компьютера напишите. Особенно точную модель блока питания и точную модель видеокарты. И той что раньше стояла.

Здравствуйте! Замечание: логи собраны устаревшей версией Автологера. Лечащие утилиты часто обновляются, поэтому старайтесь скачивать актуальные. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\users\kostya\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn\setup.exe'); TerminateProcessByName('c:\users\kostya\appdata\roaming\utorrent\utorrentweb.exe'); QuarantineFile('c:\users\kostya\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn\setup.exe', ''); QuarantineFile('c:\users\kostya\appdata\roaming\utorrent\utorrentweb.exe', ''); DeleteSchedulerTask('EdgeUpdate'); DeleteSchedulerTask('UpdateTorrent'); DeleteFile('c:\users\kostya\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn\setup.exe', ''); DeleteFile('c:\users\kostya\appdata\roaming\utorrent\utorrentweb.exe', ''); DeleteFile('C:\Users\Kostya\AppData\Roaming\utorrent\UtorrentWeb.exe', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Kostya', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Kostya', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Для повторной диагностики запустите снова свежий AutoLogger. Прикрепите новый CollectionLog.

Здравствуйте! Не стану создавать новую тему, опишу тут свою ситуацию. Недавно поменяла видеокарту на своём ПК на более мощную и с тех пор комп включается только со второго раза. Первый раз включается и сразу экран гаснет (системник работает, но лампочка на мониторе ораньжевая), жму перезагрузить и уже нормально включается. Переустановка винды (10 стоит) не помогла. Подскажите что проверить куда копать? Пробовала гуглить, первое что пишут - питания не хватает.

С расшифровкой файлов не сможем помочь по данному типу шифровальщика. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Да, отключайте до перезагрузки.

Антивирус нужно отключать?