Активность

Спасибо! Дело в том что Windows Update заработал ещё после отката системы к контрольной точке, это я в первом посте писал, с тех пор работает. Я больше волновался о том не осталось ли какой-то погани в системе после работы антивируса, о чем, собственно тоже писал в первом посте. SecurityCheck2.txt

Что сейчас с проблемой запуска центра обновления W? Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению.

Спасибо! Сделал. Fixlog.txt

По очистке системы Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: AS: Avast Antivirus (Disabled - Up to date) {5078598A-1FA2-C888-AA5F-A9C66537DB12} AlternateDataStreams: C:\WINDOWS\tracing:? [16] AlternateDataStreams: C:\Users\Specter\Application Data:087af38c42a2e82c16575997b2d7a77b [394] AlternateDataStreams: C:\Users\Specter\Application Data:b3182b5bce2d350c85976530cca7f2a6 [394] AlternateDataStreams: C:\Users\Specter\AppData\Roaming:087af38c42a2e82c16575997b2d7a77b [394] AlternateDataStreams: C:\Users\Specter\AppData\Roaming:b3182b5bce2d350c85976530cca7f2a6 [394] Startup: C:\Users\Specter\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\aida64.exe [2025-07-13] (FinalWire Ltd.) [Файл не подписан] Startup: C:\Users\Specter\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\aida64.ini [2025-08-21] () [Файл не подписан] HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ Task: {296036a7-845a-49e7-bc23-ac54de01f107} - отсутствует путь к файлу. <==== ВНИМАНИЕ Task: {9d5c987f-4970-48c6-a80b-0928482b6fb3} - отсутствует путь к файлу. <==== ВНИМАНИЕ Task: {d19da108-b87c-429e-9a7e-4562f5c3f03b} - отсутствует путь к файлу. <==== ВНИМАНИЕ S4 AmdTools64; \SystemRoot\System32\drivers\AmdTools64.sys [X] S3 HWiNFO_204; \??\C:\Users\Specter\AppData\Local\Temp\HWiNFO_x64_204.sys [X] <==== ВНИМАНИЕ Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Спасибо! Aida64 нужна была для запуска мониторинга некоторых параметров через оверлей Afterburnera, у него сейчас отсутствует нативный мониторинг нужных параметров на моём железе, например температуры процессора, но Afterburner умеет брать информацию у сторонних приложений , таких как Aida или HWInfo. Но работало это через автозапуск криво, так что сейчас я его руками стартую, а в автозапуске он действительно не нужен. Ссылка на архив. https://cloud.mail.ru/public/9Bom/xzfrv77GY

Файлы в приложении C:\FRST\Quarantine https://disk.yandex.ru/d/eJbZ8KpcafQ9Jw Fixlog.txt

По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ Task: {1F8AF4E2-D717-41DD-A5C5-3C4254B01863} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\Unlock -> Нет файла <==== ВНИМАНИЕ Task: {2323D594-3C5C-48B3-8774-A0B399336F19} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\OnIdle -> Нет файла <==== ВНИМАНИЕ Task: {63E015E3-E467-4A05-A636-1C520DF3638E} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\Logon -> Нет файла <==== ВНИМАНИЕ Task: {DCDED0B4-3C9D-4C34-9490-ECA4731C5353} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\Time -> Нет файла <==== ВНИМАНИЕ Task: {E4C2AD12-0E5E-49B3-8F66-06622FD40FAE} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\OutOfIdle -> Нет файла <==== ВНИМАНИЕ Task: {F19ACB1F-AC90-40DB-B422-B646CBE0E947} - \Microsoft\Windows\UNP\Campaigns\{91be532c-f9f1-406a-9858-43697c6f437a}\RunCampaignManager2 -> Нет файла <==== ВНИМАНИЕ Task: {FC16EC1D-23A3-4B86-AAE2-0FA349F109FB} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ S3 cpuz143; \??\C:\WINDOWS\temp\cpuz143\cpuz143_x64.sys [X] <==== ВНИМАНИЕ S3 cpuz145; \??\C:\WINDOWS\temp\cpuz145\cpuz145_x64.sys [X] <==== ВНИМАНИЕ 2025-08-24 11:24 - 2025-08-24 11:24 - 000000973 _____ C:\Users\rdp_profirost_zp\AppData\Local\Decrypt_enkacrypt.txt 2025-08-23 23:16 - 2025-08-24 04:02 - 000000000 ____D C:\temp 2025-08-24 12:51 - 2023-08-28 20:32 - 000000000 __SHD C:\Users\rdp_profirost_zp\AppData\Local\A830A994-1E61-805B-532D-74E13170897A Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Прикрепляю файлы Файл с требованиями злоумышленников был случайно удалено, но в нем содержались след данны decryption ID is F3f59ZrkCMVp8JD9fcP48NnmGPuFCl62p53uwGSWpD8*enkacrypt-F3f59ZrkCMVp8JD9fcP48NnmGPuFCl62p53uwGSWpD8 почта enkacrypt@onionmail.org enkacrypt@proton.me Addition_24-08-2025 14.04.01.txt FRST_24-08-2025 14.02.48.txt файлы зашифрованные.rar

@Denis Molin. Следуя правилам: от вас нужны несколько зашифрованных файлов и записка о выкупе в архиве без пароля + логи FRST (файлы Addition.txt и FRST.txt) из системы, где произошло шифрование.

Как интерпретировать ошибку, можно погуглить решения в сети. Ошибка 0x81000203 в Windows означает, что произошел сбой или отключение функции "Системное восстановление" или службы "Теневое копирование тома", что мешает созданию точек восстановления или выполнению восстановления системы Ошибки приложения: ================== Error: (08/23/2025 12:38:50 PM) (Source: VSS) (EventID: 12292) (User: ) Description: Ошибка теневого копирования тома: Ошибка при создании класса поставщика теневого копирования COM с CLSID {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} [0x80070424, Указанная служба не установлена. ].

разумеется, по закону Яровой

Порядок оформления запроса о помощи

Добрый день. Подскажите, как решить проблему с данным шифровальщиком?

А я не переживаю по Максу, на телефоне есть Госуслуги, Сбербанк и т.д., думаю если они хотели, то все что надо уже собирают с телефона. Касательно самой переписки и анализа ее на сервере, просто помните об этом и учитывайте в общении. У меня вот оператор Сбер, у него включена функция защиты от мошенников, т.е. ИИ анализирует, что говорит собеседник и в случае опасности во время разговора подключается третьей стороной и говорит об осторожности., т.е. все разговоры анализируются ИИ на маркеры фразы в реальном времени и наверное логируются где-то.

@sputnikk не в мошенниках дело ведь. Убирают конкурентов и тех, кто не подчиняется. Те же сотовые операторы не только за трафик деньги хотят, но и за ваши минуты.

судя по сообщениям в прессе мошенники звонят и по МАХ, при этом номер звонящего скрыт

Клубчане, вот вам подарок на ДР клуба, сам вырастил, не ИИ, немного ухода, обрезки, ну и фосфор с калием в виде допинга). P.S. Фото портретное специально, в пейзажном формате мне меньше понравилось.

С Днём Рождения!

Готово. Fixlog.txt

Выполнитк очистку в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: AlternateDataStreams: C:\Users\Professional\Application Data:f1110d733c8939dcd961030d636e45d3 [394] AlternateDataStreams: C:\Users\Professional\AppData\Roaming:f1110d733c8939dcd961030d636e45d3 [394] 2025-08-23 09:50 - 2025-08-23 09:50 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll R3 cpuz158; C:\Windows\temp\cpuz158\cpuz158_x64.sys [44592 2025-08-24] (Microsoft Windows Hardware Compatibility Publisher -> CPUID) <==== ВНИМАНИЕ HKU\S-1-5-20\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-19\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-20\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

scannow молчит. Reg-файл добавил, не перезагружался. Сейчас всё поставлю. Да, был момент, когда он создавал в загрузках и в декстопе папку "Av_Block_remover", Не обратил на это внимание пока вручную менял безопасность папок и удалял.

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS. Запустите reg файл и подтвердите внесение информации в реестр. Сделайте проверку системы на ошибки с исправлением ошибок chkdsk сделайте проверку целостности системы. sfc /scannow Возможно есть какая проблема с Windef Windows Defender: Error #0x80070002 Наличие ссылок на этот файл указывает на то, что было заражение майнером Jhon FirewallRules: [{E276A868-D312-4A72-8D23-8AE47D664E1A}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла попробуйте это лекарство. Скачайте AV block remover (или с зеркала). Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем. Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads). В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

А, до этого запускал отслеживание. Случайно вышло. Удалил.

Этот файл удалите вручную C:\Windows\system32\rfxvmt.dll отслеживание зачем запустили. запросили обычный образ автозапуска. без отслеживания. Отслеживание задач: 1 Отслеживание запуска процессов: 1 Отслеживание завершения процессов: 1 Отслеживание командной строки процессов: 0