Активность

У меня ощущение, что ты экраном блокировки называешь что-то другое.

По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\...\Run: [Chrome.exe] => C:\Users\Администратор\AppData\Local\Important_Notice.txt [6269 2025-09-03] () [Файл не подписан] HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKLM\...\Policies\system: [legalnoticetext] **Important Notice!** HKU\S-1-5-21-2128259019-3393145453-3281607928-500\...\Run: [YandexBrowserAutoLaunch_ECDD6029C5CCE0A7929A253137E11B62] => IFEO\1cv8.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\1cv8c.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\1cv8s.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2025-05-14] ShortcutTarget: AnyDesk.lnk -> C:\Program Files (x86)\AnyDesk\AnyDesk.exe (Нет файла) GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ 2025-09-04 02:09 - 2025-09-04 02:18 - 000006269 _____ C:\Important_Notice.txt 2025-08-12 13:02 - 2025-09-04 02:09 - 020386306 _____ 2025-09-04 02:09 - 2025-09-04 02:09 - 000000000 ____D C:\temp 2025-09-04 03:11 - 2023-07-09 21:11 - 000000000 __SHD C:\Users\Администратор\AppData\Local\3257CE38-1BB0-5AD5-57D7-64FFB344B343 Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Проверьте, есть на этом диске такая папка?: буква диска:\Users\учетная запись пользователя\AppData\Local\D4A4227A-D012-4CEA-21D3-0BAD0BF6CDED Если есть, заархивируйте ее с паролем virus, загрузите на облачный диск и дайте ссылку здесь на скачивание.

Пароль от админа не подходит, есть второй пк к которому подключен этот диск, вот файлы 1.rar

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Спасибо большое вам за помощь ❤️

Addition.txt

По возможности обновите данное ПО: Microsoft Office Standard 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Среда выполнения Microsoft Edge WebView2 Runtime v.120.0.2210.61 Внимание! Скачать обновления ^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^ WinRAR 5.91 (32-разрядная) v.5.91.0 Внимание! Скачать обновления -------------------------- [ IMAndCollaborate ] --------------------------- Discord v.1.0.9059 Внимание! Скачать обновления AmneziaVPN v.4.8.3.1 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- Zona Внимание! Клиент сети P2P с рекламным модулем! --------------------------- [ AdobeProduction ] --------------------------- Adobe Acrobat (64-bit) v.22.003.20322 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ ------------------------------- [ Browser ] ------------------------------- Opera GX Stable 120.0.5543.204 v.120.0.5543.204 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ Vivaldi v.7.3.3635.12 Внимание! Скачать обновления Autorun Organizer, версия 5.37 v.5.37 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

SecurityCheck.txt

Отлично, теперь полная очистка системы завершена. Судя по логу выполнения скрипта былой активности майнера уже нет. И вы должны это заметить, как ваша система вздохнула свободно после очистки. :). Далее, Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению.

пароль virus virus-2.rar

Alibaba Supplier ставил сам, по работе необходимо. Скрипт провел, лог во вложении Fixlog.txt

2025-09-05_10-29-11_log.txt SAMURAI_2025-09-05_10-32-36_v5.0.1v x64.7z

Дешифратор есть, но к нему необходимы приватные ключи, которыми было выполнено шифрование. Без ключей расшифровка файлов после Mimic невозможна. И универсального ключа нет, который подошел бы ко всем случаям шифрования Mimic.

Здравствуйте! Программу Alibaba Supplier ставили самостоятельно? Если нет, деинсталлируйте. Далее: Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-3791147441-2617593827-1758140989-1001\...\MountPoints2: {1e4151e3-a52c-11ef-b7c8-e86538bbbeb7} - "H:\AutoRun.exe" HKU\S-1-5-21-3791147441-2617593827-1758140989-1001\...\MountPoints2: {4fac3b09-1466-11f0-b7e3-e86538bbbeb8} - "L:\Autoplay.exe" -auto HKU\S-1-5-21-3791147441-2617593827-1758140989-1001\...\MountPoints2: {b60a5123-fb7d-11ef-b7d6-e86538bbbeb8} - "K:\Autoplay.exe" -auto HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ ProxyServer: [S-1-5-21-3791147441-2617593827-1758140989-1001] => 127.0.0.1:10809 RemoveProxy: C:\Users\user\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ggnchfknjkebijkdlbddehcpgfebapdc C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe CHR HKU\S-1-5-21-3791147441-2617593827-1758140989-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] 2025-08-28 00:45 - 2025-08-28 00:45 - 000000000 _RSHD C:\ProgramData\RDP Wrapper AlternateDataStreams: C:\Users\user\AppData\Local\Temp:$DATA [16] FirewallRules: [{09B5F0AF-6133-4963-988F-0AD2FE245033}] => (Allow) C:\Users\user\AppData\Local\Temp\rh_package\SabyAdmin_1035490543.exe => Нет файла FirewallRules: [{214A383F-2660-432A-B4BD-CE6E7927BAB1}] => (Allow) C:\Users\user\AppData\Local\Temp\rh_package\SabyAdmin_1035490543.exe => Нет файла FirewallRules: [{BB3108F8-45C7-443A-B20A-1DBAE9BA5A40}] => (Allow) C:\Users\user\AppData\Local\Temp\rh_package\SabyAdmin_1035490543.exe => Нет файла FirewallRules: [{9E4FA978-5DD3-402A-8B1E-E07D9C8EB0C9}] => (Allow) LPort=5159 FirewallRules: [{C5DC7A45-D628-4EAF-A1A1-8CB56D35958C}] => (Allow) LPort=5150 FirewallRules: [{C9E6FB2E-104A-40FD-83CD-EF963762DE9B}] => (Allow) LPort=5160 FirewallRules: [{1E95B96C-FC13-40FF-8C47-2B34BC4A6672}] => (Allow) C:\Program Files\Seagull\BarTender 2021\AdminConsole.exe => Нет файла FirewallRules: [{EF64A40B-A3E4-40EF-8808-6F208B2B20C0}] => (Allow) C:\Program Files\Seagull\BarTender 2021\AdminConsole.exe => Нет файла FirewallRules: [{DECCB03A-217D-409E-ACA7-82B49D560AB3}] => (Allow) C:\Program Files\Seagull\BarTender 2021\Maestro.Service.exe => Нет файла FirewallRules: [{186444A3-1939-4645-8D99-84804870E5A7}] => (Allow) C:\Program Files\Seagull\BarTender 2021\Maestro.Service.exe => Нет файла FirewallRules: [{F0DC84DA-E728-4ED6-A058-B0577C5B5B22}] => (Allow) LPort=5130 FirewallRules: [{90683FEF-CAA7-4FC5-BB5F-C5982DD5AF37}] => (Allow) LPort=32683 FirewallRules: [{69F5EE2A-5EC4-438B-9B20-07CEA1B4B7A4}] => (Allow) LPort=33683 FirewallRules: [{7C636874-211C-4E9F-949D-CBF7A67404B5}] => (Allow) LPort=26822 ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

Логи полные нужны, FRST.txt и Addition.txt + записка о выкупе.

Добрый день! Спасибо за информацию. Меры примем. Планируется ли в будущем разработка дешифровщика к данному типу?

просьба, не цитировать мои сообщения - в этом нет необходимости, просто пишите ваш ответ. Хорошо, теперь надо зачистить ненужные исключения в Windef, которые были добавлены вредоносными программами. Сделаем это еще раз через uVS, при запуске uVS надо отключить постоянную защиту штатных антивирусов (кроме Windef). Скрипт для выполнения такой: ;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;---------command-block--------- delall %SystemDrive%\PROGRAMDATA\ILSHOBHUTIFB\ZFFLNFQVPEQE.EXE delref WDE:\.EXE delref %SystemDrive%\USERS\YULIY\APPDATA\LOCAL delref %SystemDrive%\PROGRAM FILES delref %SystemDrive%\PROGRAM FILES (X86) delref %SystemDrive%\PROGRAMDATA delref %SystemDrive%\USERS\YULIY\APPDATA\ROAMING delref %Sys32%\CONFIG\SYSTEMPROFILE delref %SystemDrive%\USERS\YULIY apply restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + сделайте контрольный образ автозапуска в uVS (без отслеживания процессов)

Гран-при ИТАЛИИ | ЭТАП 16 П О Р Т А Л П Р О Г Н О З О В приём ставок на соревнование «Формулы-1» ¤ ¤ ¤ СТАВКИ ПРИНИМАЮТСЯ С 06 СЕНТЯБРЯ ДО 1655 06 СЕНТЯБРЯ (время московское)

Судя по логам FRST очистка майнера прошла успешно. Файла zfflnfqvpeqe.exe нет в автозапуске. продолжаем очистку системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6008] AlternateDataStreams: C:\Users\yuliy\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\yuliy\Application Data:48e63d4de0a63256000858a7c61c87df [394] AlternateDataStreams: C:\Users\yuliy\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\yuliy\AppData\Roaming:48e63d4de0a63256000858a7c61c87df [394] GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url> Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Addition.txt

Второй файл логов Addition.txt так же необходим.

3.09.25 Вечером было все нормально. Серверная машина всю ноч работала. Утром все зашифровано. FRST.txt virus.rar

FRST.txt 2025-09-05_09-16-09_log.txt