Активность

Строгое предупреждение от модератора thyrex Перечитайте написанное по ссылке в моем предыдущем сообщении. Следующее сообщение с нарушением правил приведет к закрытию темы.

Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы Лист Microsoft Office Excel.xlsx

Здравствуйте. Выполните Правила оформления запроса о помощи Новую тему создавать не нужно, прикрепите все необходимое к следующему сообщению в текущей теме.

Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы Лист Microsoft Office Excel.xlsx

Попытки поставить целевой фишинг на поток мы наблюдаем уже достаточно давно. Как правило, они ограничиваются чуть лучшей стилизацией писем под конкретную компанию, имитацией корпоративного отправителя при помощи методики Ghost Spoofing и персонализацией послания (которая в лучшем случае заключается в обращении к жертве по имени). Однако в марте этого года мы начали регистрировать крайне любопытную рассылку, в которой персонализирован был не только текст в теле писем, но и вложенный документ. Да и сама схема была не совсем типичной — в ней жертву пытались заставить ввести корпоративные учетные данные от почты под предлогом изменений HR-политики. Письмо от злоумышленников: просьба ознакомиться с новыми HR-гайдлайнами Итак, жертва получает письмо, в котором якобы представители HR, обращаясь по имени, просят ознакомиться с изменениями HR-политики, касающимися протоколов удаленной работы, доступных рабочих льгот и стандартов безопасности. Разумеется, любому сотруднику важны изменения такого рода, курсор так и тянет к приложенному документу (в названии которого, к слову, тоже есть имя получателя). Тем более в письме такая красивая плашка, в которой сказано, что отправитель подтвержденный, сообщение пришло из листа безопасных адресатов. Но как показывает практика, именно в таких случаях к письму стоит присмотреться повнимательнее. View the full article

Чего бы хотелось. Оперативной обратной связи. Чтобы рейтинг (в клабах) знать не через 2-3 месяца, а на текущий момент, пусть хотя бы и раз в месяц, т.е. 16 числа каждого месяца по той активности, которая завершена на текущий момент. Так как обратная связь либо мотивирует продолжать активность, либо нет, когда ее нет, или когда она идет с огромным временным отставанием. -------- Ну это выглядит примерно, как если бы в финале Кубка России по хоккею с шайбой, после завершения матча, ведущие объявляют, что счетная комиссия посчитает (через неделю - через месяц) количество бросков, заброшенных и пропущенных шайб с той и другой стороны, и объявит победителя, типа, все что было заброшено и пропущено, теперь уже никуда не пропадет. :).

@thyrex, описываемые тобой ситуации безусловно возможны, хотя это и форс-мажор. Вообще, на мой взгляд, потеря более суток будет означать некомпетентность тех. админов. Потому что бэкап базы данных должен делаться как минимум раз в сутки. У тебя есть конкретные предложения? Или что ты хочешь услышать?

С Днём Рождения!

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. marisha (43)Cracker (39)s5088042 (39)Евгений Михайлович Федоров (36)

если сами не скачаете еще где-нибудь zapret с начинкой в виде майнера, то не вернется. Пока будете наблюдать, по возможности исправьте: Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Microsoft OneDrive v.25.115.0615.0002 Внимание! Скачать обновления 7-Zip 24.09 (x64) v.24.09 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ WinRAR 7.01 (64-разрядная) v.7.01.0 Внимание! Скачать обновления Discord v.1.0.9177 Внимание! Скачать обновления Microsoft Edge v.138.0.3351.83 Внимание! Скачать обновления ^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^ ---------------------------- [ UnwantedApps ] ----------------------------- UpdateDoll Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. ZillowDoge Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

извините не сразу увидел. сейчас еще неизвестно решилась ли, т.к. майнер может вернуться +- через неделю. в пятницу вам отвечу

@Mrak, Вы мыслите так же узко, как и предыдущий оратор За мою честность можете не переживать, мне лишнего и чужого не нужно, а честно заработанного своего будет достаточно. Я же многого не прошу: просто внести ясность и развеять сомнения. Поэтому повторю еще раз то, что уже писал в этой теме чуть больше года назад А сейчас разрешите откланяться, меня ждут в вирусобойне.

Излагаю своё субъективное мнение, что наши модераторы заслуживают доверия (пока не доказано обратное). Как я понимаю, вы не имеете доступа к логам и достоверно не располагаете информацией о том, действительно ли всё при неком сбое удалено безвозвратно или что-то можно восстановить. Иными словами, врать про объём собственного труда не в интересах модератора (вдруг не всё стёрлось, уличат во лжи, последствия будут нехорошими), а значит словам заслуженных форумчан, не противоречащих иным данным, можно верить. Итого: доверие основано на высоком статусе модератора, а также на логических предположениях о нецелесообразности лжи для модератора.

спрашиваю в третий раз! Научитесь читать, наконец.

SecurityCheck.txt

Неужели трудно было дочитать до конца и сообщить Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе. Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;Прикрепите этот файл в своем следующем сообщении.

Fixlog.txt

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: 2025-05-03 14:56 - 2025-07-17 23:29 - 000000000 __SHD C:\Users\wekai\AppData\Roaming\DriversUpdate FirewallRules: [TCP Query User{5C5AC4F0-3F20-41D3-8C80-3FB2E82C8B6F}C:\program files (x86)\microsoft\edge\application\msedge.exe] => (Block) C:\program files (x86)\microsoft\edge\application\msedge.exe => Нет файла FirewallRules: [UDP Query User{BFEBEEFE-974E-489D-BFEF-51817C279EFA}C:\program files (x86)\microsoft\edge\application\msedge.exe] => (Block) C:\program files (x86)\microsoft\edge\application\msedge.exe => Нет файла FirewallRules: [{F4AAAEE6-12D1-461E-9EF6-1C26D5D15A68}] => (Allow) D:\проги\overwolf\0.275.0.13\OverwolfBrowser.exe => Нет файла FirewallRules: [{300CB6E6-F1AB-40D5-9285-0ED1AD7F2655}] => (Allow) D:\проги\overwolf\0.275.0.13\OverwolfBrowser.exe => Нет файла FirewallRules: [{2FA970DA-71C1-4DDB-9D0D-C8853BFEA266}] => (Block) D:\проги\overwolf\0.275.0.13\OverwolfBrowser.exe => Нет файла FirewallRules: [{560398AE-6FD0-4669-807A-668A49B102CF}] => (Block) D:\проги\overwolf\0.275.0.13\OverwolfBrowser.exe => Нет файла FirewallRules: [{6BA29A5D-D85F-43A2-A8FE-9163E3725882}] => (Allow) D:\проги\Office16\outlook.exe => Нет файла Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Сообщите, решилась ли проблема.

123.zip

Приношу извинения за тишину, но здесь весьма и весьма напряжённый график. Спать в отеле получается 4-5 часов в сутки, остальное досыпается в вертолётах.. Однажды во время поездки по Белоруссии у нас сложился термин "агрессивное гостеприимство" (ищите сами ссылки на это, я уже не в силах). Здесь же, в Красноярске, у нас другие дефиниции: - Карательная кулинария. - Гастро-экстремизм. Так и выживаем...

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

CollectionLog-2025.07.17-23.38.zip

Здравствуйте. Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\Users\wekai\AppData\Local\Microsoft\Edge\System\update.exe',''); TerminateProcessByName('c:\users\wekai\appdata\roaming\driversupdate\runtimebroker.exe'); QuarantineFile('c:\users\wekai\appdata\roaming\driversupdate\runtimebroker.exe',''); DeleteFile('c:\users\wekai\appdata\roaming\driversupdate\runtimebroker.exe','32'); DeleteSchedulerTask('Microsoft\Windows\ApplicationData\CleanupTemporaryStaticFiles'); DeleteFile('C:\Users\wekai\AppData\Local\Microsoft\Edge\System\update.exe','64'); DeleteSchedulerTask('Microsoft\Windows\USB\Usb-Notification'); DeleteSchedulerTask('Microsoft\Windows\Shell\FamilySafetyRefreshingTask'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end.Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

майнер который не детектится процесс хакером, работает с название updater.exe и находится в папке с файлами edge, появляется через время после закрытия. ситуация точно такая же как в посте, https://forum.kasperskyclub.ru/topic/465802-resheno-samo-vosproizvodimyj-virus-majner-cpu-xmrig/ но у меня после фикса по туториалу он не удалился. CollectionLog-2025.07.17-22.52.zip Сообщение от модератора thyrex Темы объединены

Порядок оформления запроса о помощи