Активность

Хорошо, тогда закрываю.

Нашел папку, думал там же где и лог создается. Quarantine1.7z

Сообщение от модератора Mark D. Pearlstone Общайтесь с ТП. Тема исчерпала себя уже давно. Закрыто.

Знаете, насколько бы это тривиально не звучало, искать по IP не пробовали. Сейчас проверил, устройство есть, но под другим именем... Видимо вот он, корень всех проблем.... Спасибо Майк!)

Хм. Не знал, что этот движок после переноса в черновики и обратно пересоздаёт ссылку

Техническая возможность есть, но не хватает главное. Приватного ключа, который необходим для расшифровки файлов. + Проверьте ЛС.

Искали по IP адресу устройство?

А схема обновления какая у вас? KSC имеет прямой доступ к серверам обновлений или обновляется через KUU?

Смотрел, там нет

Здравствуйте, посмотрите группу "Нераспределенные устройства" на сервере администрирования.

Файл Fixlog.txt прикрепили. Ссылка на архив Fixlog.txt

CollectionLog-2025.09.29-12.46.zip

Предустановленное ПО не трогайте, остальное чистим: Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению: Сбросить политики IEСбросить политики Chrome Убедитесь, что закрыты все браузеры.В меню Информационная панель нажмите Запустить проверку.По окончании нажмите кнопку Карантин и дождитесь окончания удаления.Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).Прикрепите отчет к своему следующему сообщению.(Обратите внимание - C и S - это разные буквы). Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!! Подробнее читайте в этом руководстве.

на пк всего одна учетка, больше нету Да, ее нигде не видно. AdwCleaner[S00].txt

Снова здравствуйте, прикрепляю CollectionLog-2025.09.29-15.44.zip

Через Параметры - Приложения как понимаю тоже не видно, так? Вероятно была установлена в другом профиле системы (в этом - pk3). Попробуйте зайти в него и там удалить. Дополнительно: Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.Запустите (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.

Через программу Geek не видно App Explorer. Скрипт выполнил. Через программу Geek не видно App Explorer. Скрипт выполнил. Fixlog.txt Однако, теперь иногда появляется установщик Нортона. Предлагает установить, либо появляется ярлык на рабочем столе папки с нортоном Редирект на ресурс остался

Всем привет!) Помогите профану в этой стези) Есть несколько машин, на которых установлен агент, который подключен к серверу безопасности, но сам сервер его не видит. При этом агент получает обновления, и подключается к серваку. Сервак же не видит этой машины. Пробовали удалять агента с помощью cleaner.exe, и накатывать повторно - не помогло Помогите, пожалуйста. Машина на Windows 7 KSC - 15.1 Агент - 15.1

App Explorer - по-прежнему в списке установленных. Если не получается удалить стандартно, удалите принудительно через правую кнопку с помощью Geek Uninstaller Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKU\S-1-5-21-102457405-3801640905-1653260570-1002\...\MountPoints2: {33c76713-6c43-11ef-a46d-b00659623216} - "D:\HiSuiteDownLoader.exe" HKU\S-1-5-21-102457405-3801640905-1653260570-1002\...\MountPoints2: {acf9e8f9-4058-11ec-a3cc-1c697a7757f8} - "D:\HiSuiteDownLoader.exe" HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ Task: {034A2FCC-942A-4FE5-90F2-53816F67DEDA} - System32\Tasks\Avast Emergency Update => C:\Program Files\Avast Software\Avast\AvEmUpdate.exe (Нет файла) Task: {1C191254-BDE8-42F6-894E-35620E4623BE} - System32\Tasks\Norton Security\Norton Security Autofix => C:\Program Files\Norton Security\Engine\22.20.5.40\SymErr.exe /ui (Нет файла) Task: {08136DBE-4778-4C99-9172-BB95FCDE51BC} - System32\Tasks\Norton Security\Norton Security Error Analyzer => C:\Program Files\Norton Security\Engine\22.20.5.40\SymErr.exe /analyze (Нет файла) Task: {80FDA466-7D7D-49AD-BF82-CC742FB245B0} - System32\Tasks\Norton Security\Norton Security Error Processor => C:\Program Files\Norton Security\Engine\22.20.5.40\SymErr.exe /submit (Нет файла) Task: {AD03A97F-4C29-438A-92D2-F5D941EEA4EC} - System32\Tasks\NortonLifeLock Trial Agent V2 => "C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NLOKTrialAgentV2.exe" /scheduled (Нет файла) C:\Users\pk3\AppData\Local\Google\Chrome\User Data\Default\Extensions\amfgabfnnnaeeendcohljjlcglbgjmcl ContextMenuHandlers1: [NortonLifeLock.Norton.Antivirus.IEContextMenu] -> {FAD61B3D-699D-49B2-BE16-7F82CB4C59CA} => -> Нет файла ContextMenuHandlers2: [NortonLifeLock.Norton.Antivirus.IEContextMenu] -> {FAD61B3D-699D-49B2-BE16-7F82CB4C59CA} => -> Нет файла ContextMenuHandlers6: [NortonLifeLock.Norton.Antivirus.IEContextMenu] -> {FAD61B3D-699D-49B2-BE16-7F82CB4C59CA} => -> Нет файла FirewallRules: [{EE6B1BD8-8CD8-4359-87FC-9DDA02DBD0AD}] => (Allow) LPort=1521 FirewallRules: [{3C7DB8C4-EFDB-4B82-B2AE-05AC64540073}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [{E425A1A1-69FE-4AC2-BC5D-33A644F9E85B}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [{77E4CCAC-FCE6-415E-B193-A1BEE0729917}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\22.3.5096.64\installer\ceup.exe => Нет файла FirewallRules: [{D03F05A1-F693-4193-AB1F-76E9E3F5F666}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\22.3.5096.64\installer\ceup.exe => Нет файла FirewallRules: [{DBF4A17E-93A2-4FCB-A816-5C2538290771}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла FirewallRules: [{5476857A-6183-48CA-B32D-DB32244A17D6}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe => Нет файла FirewallRules: [{590720E4-8BE5-4CA7-A468-7B16C699CDC2}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\22.3.5096.64\installer\360mlupdate.exe => Нет файла FirewallRules: [{F6F370D8-EE2F-402E-9E41-3CC06A6983DE}] => (Allow) C:\Users\pk3\AppData\Local\360extremebrowser\Chrome\Application\22.3.5096.64\installer\360mlupdate.exe => Нет файла EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

по файлам: lucky_john.exe ESET-NOD32 A Variant Of Win32/Filecoder.Mimic.C Kaspersky HEUR:Trojan-Ransom.Win32.Mimic.gen DrWeb Trojan.Encoder.40979 https://www.virustotal.com/gui/file/45726c8e3c315c21e36dea3eb11ac966471466c4c271a75e98d76a65b1f43a02?nocache=1 По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\...\Run: [lucky_john.exe] => C:\Users\noname\AppData\Local\How-to-decrypt.txt [1454 2025-09-26] () [Файл не подписан] HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your PC. Policies: C:\Users\buh_cheb_1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_cheb_2\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_cheb_4\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_14\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_15\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_150\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_151\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_152\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_153\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_17\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_18\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_21\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_33\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_43\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_45\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_46\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_48\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_kirov_52\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_yar_1\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\buh_yola_2\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\slavin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\victor\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ 2025-09-26 04:36 - 2025-09-26 08:58 - 000001454 _____ C:\How-to-decrypt.txt 2025-09-26 04:36 - 2025-09-26 04:36 - 000000000 ____D C:\temp 2025-09-26 04:35 - 2025-09-26 04:35 - 000000000 ____D C:\Users\noname\WINDOWS 2025-09-26 04:34 - 2024-05-21 17:34 - 000128000 _____ C:\NS v.2.exe 2025-09-29 15:10 - 2024-02-05 13:24 - 000000000 __SHD C:\Users\noname\AppData\Local\51271509-366D-30C9-038E-A0FA16B1DDED Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Нет, на некоторых только. На счет UDP портов проверю обязательно, Спасибо

Хорошо. Примите к сведению - Рекомендации после удаления вредоносного ПО

Вообще то FRST карантин все файлы, которые удаляются. Вот именно в это место. C:\FRST\Quarantine

Всё выполнили, больше такого ничего не выходило. Мониторил все выходные. Благодарю за помощь.

да уж, судя по логу KRD разворошили осинное гнездо. Имеет смысл прогнать еще в KVRT из нормального режима. детект Backdoor.Win32.DarkKomet.hqxy может быть так же связан с файловым заражением исполняемых файлов. После проверки в KVRT сделайте дополнительно логи FRST