Активность

FRST.txt 2025-07-04_17-56-29_log.txt

Прошу помощи с расшифровкой вируса Mimic. В поддержку уже обращался, сказали, не помогут. Есть много пар зашифрованных/оригинальных файлов. Может можно что-то придумать… спасибо

Судя по файлу "проверка.txt" все зачищено. Следов этого трояна не осталось. Чистим мусор. Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. ;uVS v5.0.RC3.v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CHROME.GOOGLE.COM/WEBSTORE/DETAIL/KASPERSKY-PROTECTION/AHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM apply regt 27 deltmp delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY TOTAL SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref {2962565E-CA75-4BF1-B282-AE912144D3DA}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\МЕНЕДЖЕР УСТАНОВКИ SOLIDWORKS\BACKGROUNDDOWNLOADING\SLDBGDWLD.EXE delref %Sys32%\DRIVERS\VMBUSR.SYS delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\BLANK.HTM delref SLDWORKS SHELL EXTENSION\[CLSID] delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref F:\PROGRAMS\BRAUTOMATION\ASTOOLS\BRAUTHORIZATION\BRAUTHORIZATIONSVC.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.5.3.904\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.5.3.904\RESOURCES\YANDEX\BOOK_READER\BOOKREADER delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.5.3.904\RESOURCES\OPERA_STORE\OPERA STORE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.5.3.904\RESOURCES\PDF\CHROMIUM PDF VIEWER delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.5.3.904\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\114.0.1823.58\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION delref D:\HISUITEDOWNLOADER.EXE delref %SystemDrive%\USERS\USER\DESKTOP\1\TICKET_GENERATOR\TICKET_GENERATOR.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\12.2.0.13181\UTILITY\UNINST.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\12.2.0.13181\OFFICE6\KSOMISC.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\KINGSOFT\WPS OFFICE\12.2.0.20795\UTILITY\UNINST.EXE ;------------------------------------------------------------- restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + добавьте новые логи FRST для контроля

Активировал.

Предотвращение вторжений.txtФайловый антивирус.txtПроверка.txt

Да,все правильно. Добавьте так же отчет о обнаружении угроз и сканировании из антивируса Касперского

DESKTOP-2F9V4HL_2025-07-04_17-11-45_v5.0.RC3.v x64.7z Надеюсь, всё правильно сделал.

@andrew75, да, большое спасибо

Сделайте в uVS дополнительно образ автозапуска. Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса. 1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог. 2. запустите из каталога с модулями uVS файл Start.exe (для Vista, W7- W11 выберите запуск от имени Администратора) 3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора) 3.1 Если запросили образ автозапуска с отслеживанием процессов и задач: В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, (3.1 пропускаем) 4, 5, 6. Если запросили обычный образ автозапуска, переходим сразу к п.4 4. Далее, меню "Файл" / Сохранить Полный образ автозапуска. 5. Дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Здравствуйте имеется KES 11 версии, необходимо обновить на версии 12 на ос виндовс. Проблема заключается в том, что большое чисто компьютеров локальные (без сети) и обновление получают через флешку (через утилиту KUU). Подскажите, возможно ли обновление версии без ручного обхода всех ПК, а автоматически с правами пользователя?

Здравствуйте. В один момент перестало работать всё с ошибкой «Отказано в доступе». «Касперский» нашел этот вирус и вроде как успешно вылечил с перезагрузкой. После удаления автоматически запустилась проверка, которая по непонятным причинам сама по себе приостанавливалась три раза. Также по какой-то причине переставали грузиться на некоторое время сайты. Посчитал, что это какое-то подозрительное поведение, и отключил на всякий случай интернет. «Касперский» завершил сканирование и удалил еще кучу скриптов из папки браузера. В интернете нашел страницу на «Ответах» Mail.ru, где человек писал, что этот вирус после удаления «Касперским» «воскресает». Немного беспокоит эта перспектива, т. к. переустанавливать Windows не хочется. Можно как-то проверить, осталась ли эта гадость в системе? CollectionLog-2025.07.04-16.29.zip

Расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа, которого у нас нет. теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

https://disk.yandex.ru/d/MtU-SHkuPVWa_w Fixlog.txt

Такой скрипт еще выполните в FRST Start:: HKLM\...\Run: [Win AIH Service] => C:\ProgramData\WinAIHService\WinAIHService.exe (Нет файла) 2025-07-04 16:20 - 2025-05-06 18:50 - 000000000 ____D C:\ProgramData\WinAIHService Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Напишите, что с проблемой майнера? Продолжается восстановление после перезагрузки системы или нет. Если проблема решена: Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению.

Можно без цитирования обойтись? Просто написать краткий комментарий, что изменилось или не изменилось после выполнения рекомендаций в сообщении, и необходимые логи, которые запросили.

Addition.txt FRST.txt 2025-07-04_16-19-57_log.txt

Еще и как платная услуга наверняка была.

@sail0n, квест проходить будете? Активация нужна? Если кто-то зарегистрируется в квесте, но у него нет доступа к ЛС чтобы запросить активацию, то можно запрашивать ее в этой теме.

Собрали консультанты магазина, в котором я и покупал башню и корпус

Я активирую чуть позже, сейчас не за компьютером. Так а что за "предыдущая учетка"? P.S. активировал.

Я выбрал регистрацию, после чего меня и отправило, доступа к ЛС нет

Регистрироваться в квесте нужно заново. Потом отправить мне ЛС с просьбой об активации. Если вдруг нет доступа к ЛС, можно писать в этой теме. Да, а что значит "предыдущая учетка"?

Добрый день, а у меня такая надпись встретила, предыдущая учетка была primavita

Попробуйте для начала использовать поддерживаемое программное обеспечение, "13.2" уже давно всё:

Только вчера переустанавливал хром именно с онлайн-установщика. https://support.google.com/chrome/answer/95346?hl=ru&co=GENIE.Platform%3DDesktop#zippy=%2Cwindows