Активность

Благодарю за ответ. Во время записи логов глюков не наблюдалось. Попробовал подключить старую клавиатуру через PS/2 и не смог даже ввести пароль на винду. Секунд 10 она работает, а потом перестаёт реагировать на нажатие любых клавиш. С текущей USB клавиатурой проблема не постоянная, а периодически возникает, при чём именно сразу несколько подряд действий происходит, которых я не делал и потом снова всё в порядке. Купил новую USB, за 3 часа никаких проблем. Если кому интересно обе старые были defender. С Наступающим, всех благ!

Зашифровались все файлы на ноутбуке - файлы стали с расширением ixvB60I6b, а также сервер. Помогите, пожалуйста, вернуть файлы Addition.txt FRST.txt

https://www.virustotal.com/gui/url/f7b4d3d1dbb9ab89a841f271e8e0076148fd307acf715ffdcf69caa4ef218aec Вирус-тотал показал перенаправления подозрительные, но как именно он с клиента забрал данные логи/пасс, не понимаю. Не с браузера же их взял...

Могли ли данные улететь просто при переходе по этой ссылке? Там авторизация не требовалась даже, а просто ничего не происходило. Я дней 10 назад просто нажал на эту ссылку чтобы проверить что за скам через меня рассылался в дискорде и похоже данные просто как-то утекли, хотя ссылке уже полгода. Не понимаю

CollectionLog-2025.12.29-13.26.zip

Всем привет. Вчера меня очередной раз взломали в steam и уперли последние 2000 рублей. До этого меня взламывали в июне 2025, потом повтор был в июле пару раз (общий ущерб в прошлом около 10 тысяч рублей. Я через касперский проверял систему, нашел кучу вирусов и тд., также удалил Steam полностью и перенес на другой диск его заново, чтобы все встроенное в стим ушло. Уже все что можно перепробовал. Ничего не скачивал, не устанавливал для стима ничего, не вводил данные на фишинговом сайте, так как знаю, что авторизация у меня там всегда автоматическая, заново ввод никогда не требуется. Я подозревал и подозреваю снова, что где-то через что-то активируется стиллер, который забирает мои файлы авторизации Steam, которые в папке стим находятся. Думаю снести Windows заново, но придется потратит кучу времени и тд. для восстановления всех нужных приложений для работы, которой занимаюсь. Двоюродный младший брат скачивал запретку на дискорд летом и может через него данные улетали+я поставил это же приложение дней 10 назад для связи с другом и вот опять ушло, но ушло почему-то спустя только времени, а прошлый раз быстрее взломали 2-3 дня после того, как племянник установил эту запретку на мой комп. Также в дискорде меня тоже взломали летом, а узнал я только когда его снова установил, там была рассылка спама с фишингом Steam, я просто на нее кликнул и она не сработала, может тогда и утекло все. Я не знаю... Возможно сейчас в steam встроился снова стиллер, который будет снова выводить мои средства под 0. Может ли кто-то помочь с данным вопросом и помочь найти этого виновника и как удалить? Или же мне просто проще снести Windows.

Для доп. анализа проверьте ЛС

с другого ПК, зашифрованное просто не загружается, из того что зашифровано интересует 3 устройства

Это устройство было зашифровано, или с него вы запускали FRST? Если второе, то данные логи бесполезны. Уточните, сколько устройств было заблокировано.

прилетел шифровальщик, заблокированы разделы, по форме сайта оформить не получается т.к. данные собрать никак, прилагаю фото при включении может быть есть куда копать? в системе диски отображаются как RAW ССД подключил к другому ПК прогнал утилитой но врятли что там чтото нашлось Addition.txt FRST.txt

Для доп. анализа проверьте ЛС К сожалению, с расшифровкой файлов не сможем помочь по данному типу шифровальщика. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

1. Сегодня утром зашёл в свой ноутбук, начал что-то подозревать : начал греться, сильно шуметь... Решил скачать доктор веб - браузер сразу закрывался при нажатии на ссылку/ при заходе на сайт Так же отключался диспетчер задач. 2. Пытался решить сам, скачал такие проги: одноразовый доктор веб курейт, после него iExplore, CrowdInspetc, Rougekiller (им не пользовался, скачан), AVBr Поочерёдно использовал их, после смог закачать обычный доктор веб, прочистил сейчас ноутбук. Лог кину после быстрой проверки доктором вебом (делал полную проверку, но после перезагрузил ноут ). Есть ли шанс, что ещё есть майнеры/ вирусы? Очень переживаю, данный ноутбук - очень важен для меня. ( CollectionLog-2025.12.29-13.18.zip

Высылаю. Архив загрузил через dropmefiles: *здесь* пароль от архива: virus Fixlog.txt

Файл шифровальщика: 64.exe. systemki.exe TrendMicro Ransom.Win64.SAURON.SMPI https://www.virustotal.com/gui/file/805ebf2efdc55295289eff342adae101f9b10a80c4444c2518fc8459bf2d9b25/details По очистке системы: Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\...\RunOnce: [93381111-986a-4fdf-85fc-4af51aa99b13] => "C:\Users\admin1\AppData\Local\Temp\{16b06bf2-5ed9-440f-bbcc-1e3eac8ac01d}\93381111-986a-4fdf-85fc-4af51aa99b13.cmd" (Нет файла) <==== ВНИМАНИЕ Startup: C:\Users\admin1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\#README!.hta [2025-12-27] () [Файл не подписан] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\systemki.exe [2025-12-20] () [Файл не подписан] GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Task: {1257C78B-041A-4B9B-A77C-D2FE4B72DCB8} - System32\Tasks\{A61B08AD-D827-4782-B769-AFE7676C1707} => C:\Users\admin1\Desktop\x64\Unlocker.exe (Нет файла) Task: {B8705546-C052-4BD1-9145-EF86694A44A2} - System32\Tasks\{F1FE429E-B7D1-4D2F-9753-96121140DDDE} => C:\Users\admin1\Desktop\x64\Unlocker.exe (Нет файла) 2025-12-27 16:43 - 2025-12-27 16:43 - 006220854 _____ C:\ProgramData\@kind_ad.bmp 2025-12-26 22:39 - 2025-12-26 23:31 - 000000000 ____D C:\Users\admin1\Desktop\kin 2025-12-26 21:36 - 2025-12-26 23:31 - 000000000 ____D C:\Users\admin1\Desktop\12 2025-12-26 21:29 - 2025-12-27 01:14 - 000000000 ____D C:\Users\admin1\Desktop\64-bit 2025-12-26 21:28 - 2025-12-26 21:28 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wise Force Deleter 2025-12-26 21:28 - 2025-12-26 21:28 - 000000000 ____D C:\Program Files (x86)\Wise 2025-12-26 21:27 - 2025-12-02 15:07 - 004664072 _____ (WiseCleaner.com ) C:\Users\admin1\Desktop\WFDSetup_1.5.7.59.exe Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

Файлы в архиве. Пароль: virus Вирусы.7z

Dосстановите, пожалуйста, файлы 64.exe, и systemkii.exe из карантина, переименуйте данные файлы в *.vexe, добавьте переименованные файлы в архив с паролем virus, загрузите архив в ваше сообщение. После загрузки данные файлы можно удалить.

(6*(5+√4)+3)^2+1 = 2026 @E.K.Случайно набрал такую комбинацию и получил такой результат. У нас такое допускается? 😃 (5!.4-3)^2+1 = 2026

Верно. На этом этапе склейки нет - это конечно чуть затрудняет поиск решений, не настолько критично, их не так много со склейкой. На одном из последних этапов, когда потребуется уже ручная работа по отработке каждого варианта будем превращать одиночный вариант (н-р, 111111) в списки (111111, 111110,111101,......). И тут уже снова можно будет применять и склейку c 111-11*1 и тд. Надеюсь ясно раскрыл мою идею. P.S. Пока взял паузу: семейные хлопоты перед НГ и закрываю рабочие вопросы.

Здравствуйте! В логах плохого не видно. Подключите другую, заведомо исправную клавиатуру и проверьте, будет ли воспроизводиться проблема.

Результат сканирования через KVRT

Хорошо. Что с проблемой?

Как отключить отслеживание процессов и задач. еще раз запустите uVS, start.exe, текущий пользователь, В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 40" и завершаем работу с uVS. Т.о. процесс отслеживания процессов и задач будет выключен. Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Fixlog.txt

Доброго времени суток. Злоумышленник получил доступ к компьютеру и зашифровал на нём данные. Записку, логи FRST и зашифрованные файлы (два из которых расшифровал сам злоумышленник для демонстрации) прикрепил ниже. Пароль к архиву: virus ШИФР_ДЕШИФР.7z Addition.txt FRST.txt #HOW-TO-RESTORE-YOUR-FILES.txt

Спасибо большое! Пока все работает как надо! С наступающим Новым Годом! 2025-12-29_14-40-00_log.txt SecurityCheck.txt