Активность

да я про полную программу, а не про время начала. В. прошлом году программа была за недели 2

https://t.me/kasperskyclub/1063

все бы ничего, да ссылка на результат проверки неправильная. Неужели трудно просто скопировать из адресной строки браузера? потому что расширение в Хроме установлено Удалите. Только учтите, что если синхронизация браузера с учеткой в интернете включена, то оно вернется )

Всем привет! подскажите, пожалуйста, а вы можете программу встречи клуба в офисе прислать, чтобы правильно распланировать рабочий день

Позже, когда вновь дойду до родителей. Вспомнил, там есть портативная ФФ с древних времён, ещё посмотрю там.

Значит с каждой зараженной машины буду снимать анализ

Что не так с этой программой? Стояла стоит и будет стоять и работать, пользуюсь ей не первый год.! А какая разница? Вы думаете у меня в архиве мусор?) Нет его там нет и никогда не было! А если бы и был то его сразу было бы видно!) Наверное глупее вас, НО пока к вам не пишу у меня данная программа стоит и я ей пользуюсь ежедневно! Как только делаю ваши скрипты она просто исчезает с рабочего стола. Вывод, не делаю ваших скриптов она остается рабочей и визуально видна на рабочем столе. Я как то не по русский объясняю? Что не так в понимании сути изложенного? В чем трудность?) сделал НЕ ИЗ архива , что изменилось? https://www.virustotal.com/gui/file/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855?nocache=1

Скрипты пишутся на основе логов. Не факт, что они будут отличаться только именем пользователей.

Скрипт очисткиможно на всех хостах применять? или же надо учитывать пользователей профили?

выложите файл бэкапа

понял, в любом случае, спасибо вам за уделенное время

С расшифровкой файлов по данному типу шифровальщика не сможем помочь

С расшифровкой по данному типу шифровальщика к сожалению не сможем помочь без приватного ключа.

Проверять на virustotal нужно было не прямо в архиве, а разархивировать и отправить на проверку exe-файл. Если Вы его и запускаете прямо из архива, то вот Вам и ответ куда все исчезает.

вот файл Fixlog.txt

Спасибо. В Опере нет смысла, там в менеджере паролей нету адреса 192.168.0.1 Попробую и ИЕ, не нашёл его хранилища. Хотя маловероятно, поскольку несколько лет назад переставлял его в попытках вернуть фоновые изображения гаджетов. Плюс на компе ccleaner.

Провел очистку FRST, фикслог прилагаю. Да, планирую пройти все хосты, даже те которые визуально вроде бы не затронуты - нет явно перименованных файлов Fixlog.txt

https://www.virustotal.com/gui/file/4d9e115433e25ca5d26ec5940d9fbb4e1743329711141b0a32ac0412b865fbdd?nocache=1 Все нормальные а этот красный ESET-NOD32Вариант Win32/Packed.VMProtect.ACV СофосМЛ/ПЭ-А

Вот новые логи от uVS и FRST2025-08-15_15-22-02_log.rarAddition.txtFRST.txt

судя по отчету сэмпл шифровальщика не найден. возможно, самодалился. С большой вероятностью это Lockvit V3 black, хотя и неизвестная группа. Просто сейчас идет сезон Lockbit, сезон Mimic. ПК единственный был зашифрован? По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ 2025-08-15 00:34 - 2024-02-20 15:47 - 000000000 ____D C:\Users\admin\AppData\Roaming\IObit 2025-08-15 00:34 - 2024-02-20 15:47 - 000000000 ____D C:\Users\admin\AppData\LocalLow\IObit 2025-08-15 00:34 - 2024-02-20 15:47 - 000000000 ____D C:\Users\admin\AppData\Local\IObit 2025-08-15 00:31 - 2024-02-20 17:21 - 000000000 ____D C:\Users\da\AppData\Roaming\IObit 2025-08-15 00:31 - 2024-02-20 17:21 - 000000000 ____D C:\Users\da\AppData\LocalLow\IObit 2025-08-15 00:25 - 2025-08-14 23:26 - 000716176 _____ (Sysinternals - www.sysinternals.com) C:\ProgramData\PsExec.exe Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Я к тому что можно на всякий случай попробовать глянуть этой утилитой.

Скрипт uVS сделал три раза первый раз без подключённого внешнего диска 2025-08-15_14-03-28_log.txt 2025-08-15_14-05-48_log.txt 2025-08-15_14-05-11_log.txt Addition.txt FRST.txt

Нет, во всяком случае автоподставление не работает ни в Опере 95, ни в ИЕ. Комп с Вин 7. Понадобился вай-фай для сиделки. С трудом нашёл пароль в настройках сети ноута, которым так же не пользовались лет 10.

А в браузерах пароль не сохранялся?

По очистке системы: Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. ;uVS v5.0v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv11.0 v400c OFFSGNSAVE hide %SystemDrive%\USERS\NNIKO\DOWNLOADS\НОВАЯ ПАПКА (3)\AUTOLOGGER\RSIT\RSITX64.EXE hide %SystemDrive%\USERS\NNIKO\DOWNLOADS\AG\AYUGRAM.EXE ;------------------------autoscript--------------------------- delall %SystemDrive%\NURSULTAN\VERSIONS\1.16.5\1.16.5.EXE delall %SystemDrive%\USERS\NNIKO\APPDATA\ROAMING\.TLAUNCHER\LEGACY\MINECRAFT\JRE\BIN\JAVAW.EXE delall %SystemDrive%\USERS\NNIKO\APPDATA\ROAMING\.TLAUNCHER\LEGACY\MINECRAFT\JRE\JAVA-RUNTIME-DELTA\WINDOWS-X64\JAVA-RUNTIME-DELTA\BIN\JAVAW.EXE delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\ delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLJGLAJJNNKAPGHBCKKCMODICJHACBFHK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://EDGE.MICROSOFT.COM/EXTENSIONWEBSTOREBASE/V1/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKAGPABJOBOIKCCFDGHPDLAAOPMGPGFDC%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://FIND-IT.PRO/?UTM_SOURCE=DISTR_M apply regt 27 deltmp delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\GOOGLEUPDATER\134.0.6985.0\UPDATER.EXE delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref {8702A841-D5CA-47C3-812D-9CEDC304C200}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID] delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID] delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID] delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID] delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID] delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID] delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID] delref %Sys32%\DRIVERS\ACE-GAME-0.SYS delref %Sys32%\ZAPRET.EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\128.0.6613.120\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.101\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\128.0.6613.120\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\128.0.6613.120\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.93\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\USERS\NNIKO\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.3.781\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ delref %SystemDrive%\USERS\NNIKO\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.3.781\RESOURCES\YANDEX\BOOK_READER\BOOKREADER delref %SystemDrive%\USERS\NNIKO\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.3.781\RESOURCES\OPERA_STORE\OPERA STORE delref %SystemDrive%\USERS\NNIKO\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.3.781\RESOURCES\PDF\CHROMIUM PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\132.0.2957.127\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\132.0.2957.127\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\132.0.2957.127\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\132.0.2957.127\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\132.0.2957.127\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\132.0.2957.127\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\132.0.2957.127\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\132.0.2957.127\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\132.0.2957.127\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION delref %SystemDrive%\RAGEMP\UPDATER.EXE delref %SystemDrive%\RAGEMP\UNINSTALL.EXE delref %SystemDrive%\RAGEMP\RAGE MULTIPLAYER.URL ;------------------------------------------------------------- restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + добавьте новые логи FRST для контроля