Активность

Так же спешу добавить что при загрузке ПК и входе в учётную запись, первым же делом спустя наносекунду после загрузки Рабочего стола запускается командная строка и что-то делает. Что там? Заметить не успеваю никогда. Подозреваю это связано с моими проблемами описанными здесь.

Порядок оформления запроса о помощи

Всем привет. Первый раз пишу сюда, отчаялся сильно. Уже качал Malwarebytes который на компе выявил 1 троян, несколько значений реестра от программы DriverIdentifier и что-то ещё, что я забыл. После того как я всё это удалил, вручную почистил реестр от подозрительных, старых, лишних значений, всё равно тыкаю Диспетчер задач - нагрузка ЦП (не видюхи) 40%+ и при открытии диспетчера падает соответственно до 1-3%. Так же использовал программу M1nerSearch, которая так же удалила 4 файла и 1 значение реестра по-моему, лог сохранился, если что прикреплю. Я зашёл в Speccy и там обнаружил вкладку "планировщик задач" где увидел очень подозрительные процессы. В планировщике задач обнаружил Client Helper(который MinerSearch как вирус определял), и Edgeupdate которые как я выяснил могут являться знаками наличия вируса. Вирусы получал крайне редко, и то очень давно, поэтому несильно шарю в них, извините. Я сейчас скачаю программу Revo uninstaller и попробую с помощью неё ещё что-нибудь сделать. Так же отмечу что вытаскивал кабель инета, устанавливал CCleaner, чистил комп, чистил реестр с помощью неё, потом обратно инет подключал. Так же исправлял ошибки реестра программой Wise Registry Cleaner. На всякий случай прикрепил 2 лога от MinerSearch, 1-й в котором указаны кол-во запусков 1 это тот лог, который при первом запуске мне и показал 5 проблем. 2 лог это лог уже второй проверки после всех вышеописанных манипуляций с ПК, он не обнаружил проблем, но как видите они остались, так что хз. Скрин подозрительной активности в Планировщике. MinerSearch_12_17_2025_7-15-07_PM.log MinerSearch_12_17_2025_8-23-48_PM.log

77 + 28 = 105 Мой вариант: 10*6-7+47

106747 = 100 -> (10 + 67) + (4 * 7) = 100

Начало положено, вернусь через год 😃

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

как всегда, играют на хайпе и FOMO🙄 спасибо за разбор

Спасибо.

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

UDP 15000 открыт с KSC до хостов?

В политике KESL соглашение KSN принято? KSN запросы проксируется к серверу администрирования или доступ напрямую задан с хостов?

К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Исправьте по возможности: Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.19127.20302 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice NVIDIA App 11.0.5.266 v.11.0.5.266 Внимание! Скачать обновления WinSCP 6.5.3 v.6.5.3 Внимание! Скачать обновления AnyDesk v.ad 7.0.15 Внимание! Скачать обновления Npcap v.1.83 Внимание! Скачать обновления Wireshark 4.6.0 x64 v.4.6.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления Notepad++ (64-bit x64) v.8.8.5 Внимание! Скачать обновления OpenVPN 2.4.6-I602 v.2.4.6-I602 Внимание! Скачать обновления qBittorrent v.5.1.2 Внимание! Скачать обновления Radmin Viewer 3.5 v.3.50.0000 Внимание! Программа удаленного доступа! Remote Manipulator System - Viewer v.7.6.2.0 Внимание! Программа удаленного доступа! VLC media player v.3.0.21 Внимание! Скачать обновления Mozilla Thunderbird (x64 ru) v.145.0 Внимание! Скачать обновления Антивирус тоже имеет смысл обновить до версии Standard. Читайте Рекомендации после удаления вредоносного ПО

SecurityCheck.txtприкладываю

Хорошо, спасибо. В завершение, пожалуйста: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратораЕсли увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению.

Fixlog.zipприкрепляю

Отчёт Fixlog.txt прикрепите. Если не помещается, упакуйте в архив.

да,самостоятельно.используется как раз для впн

Это, пожалуйста. И ответьте на вопрос:

Благодарю, вроде как помогло пока что)

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ ProxyEnable: [S-1-5-21-211950183-3398329001-1461494789-1001] => Proxy включён ProxyServer: [S-1-5-21-211950183-3398329001-1461494789-1001] => hxxp://127.0.0.1:12334 ManualProxies: 1hxxp://127.0.0.1:12334 <==== ВНИМАНИЕ RemoveProxy: Folder: C:\Program Files\platform-tools CustomCLSID: HKU\S-1-5-21-211950183-3398329001-1461494789-1001_Classes\CLSID\{056440FD-8568-48e7-A632-72157243B55B}\InprocServer32 -> => Нет файла CustomCLSID: HKU\S-1-5-21-211950183-3398329001-1461494789-1001_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 -> - => Нет файла ShellServiceObjects: Нет имени -> {C2796011-81BA-4148-8FCA-C6643245113F} => FirewallRules: [{D02F22F0-47A5-4EC2-A082-07E4C5FAA44B}] => (Allow) LPort=9422 FirewallRules: [{91C9D255-E5B3-4B39-9EE3-936F11624F9E}] => (Allow) LPort=9245 FirewallRules: [{0EACFCDB-B60B-4B82-972F-0067B0F35A05}] => (Allow) LPort=9246 FirewallRules: [{985B6609-36E1-443D-838C-0B2AC5C0CD5B}] => (Allow) LPort=9247 StartBatch: del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*" del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Code Cache\Js\*.*" EndBatch: EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Программу Happ - Proxy Utility ставили самостоятельно?

Наши эксперты из команды GReAT обнаружили и исследовали новую волну целевых рассылок за авторством APT-группы «Форумный тролль». Причем если раньше их вредоносные письма отправлялись на публичные адреса организаций, то теперь в качестве получателей злоумышленники выбрали конкретных людей — ученых из российских университетов и других научных организаций, специализирующихся на политологии, международных отношениях и мировой экономике. Целью рассылки было заражение компьютеров жертвы зловредом, обеспечивающим удаленный доступ к устройству. Как выглядит вредоносное письмо Письма злоумышленники отправляли с адреса support@e-library{.}wiki, имитирующего адрес научной электронной библиотеки eLibrary (ее реальный домен — elibrary.ru). Внутри содержались персонализированные ссылки, по которым жертве предлагали скачать отчет о проверке какого-то материала на плагиат, что, по замыслу атакующих, должно было заинтересовать ученых. В реальности по ссылке скачивался архив, размещенный на том же домене e-library{.}wiki. Внутри находился вредоносный ярлык и директория .Thumbs с какими-то изображениями, которые, по всей видимости, были нужны для обхода защитных технологий. В названии архива и вредоносного ярлыка использовались фамилия, имя и отчество жертвы. В случае если жертва испытывала сомнения в легитимности письма и заходила на страницу e-library{.}wiki, ей показывали несколько устаревшую копию настоящего сайта. View the full article

да,действительно в чистом FirefoxPortable проблемы нет.отчет FarBar прикладываю FRST.txtAddition.txt

Вероятно вы до обращения сюда выполняли некий скрипт, написанный не для вашей системы. Если помните откуда, сообщите. Если проблема по-прежнему сохраняется, создайте параллельно тему в соседнем разделе. Причина скорее всего не вирусного характера.