Активность

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: C:\Users\ZULU\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec CHR HKU\S-1-5-21-3510537044-3606839638-589609950-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec] FirewallRules: [{43744BFD-5F89-46A7-A1AC-9AA86CFC9A7F}] => (Allow) LPort=32683 FirewallRules: [{3AC6A388-386D-4815-A56A-075F4FF2700C}] => (Allow) LPort=33683 FirewallRules: [{8849030B-86EF-4CBD-A559-69DCBD409A11}] => (Allow) LPort=26822 EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Откуда скачивали инсталляцию? Переименовывали самостоятельно? -> C:\Users\ZULU\Downloads\grtj.exe

Addition.txtFRST.txt

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\...\Run: [AdGuardVpn] => "C:\Program Files\AdGuardVpn\AdGuardVpn.exe" /nosplash (Нет файла) HKLM\...\Run: [Connectify Hotspot] => C:\Program Files (x86)\Connectify\Connectify.exe autorun (Нет файла) HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [MediaGet2] => "C:\Users\admin\MediaGet2\mediaget.exe" --minimized (Нет файла) HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [uFiler] => "C:\Program Files (x86)\uFiler\uFiler.exe" -autorun (Нет файла) HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [Voicemod] => "C:\Program Files\Voicemod Desktop\VoicemodDesktop.exe" (Нет файла) HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [EADM] => "C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALauncher.exe" -silent (Нет файла) HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [Arizona Games Launcher] => "C:\Users\admin\AppData\Local\Programs\Arizona Games Launcher\Arizona Games Launcher.exe" (Нет файла) GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ Task: {1BE90DFA-8866-4208-8062-7CDEB265CF6F} - \FQNzQgsDZdglobCyiTm2 -> Нет файла <==== ВНИМАНИЕ Task: {333CB496-B8EA-4CFE-A83C-47DED0435D10} - \tmTytgrOditDEYEwM2 -> Нет файла <==== ВНИМАНИЕ Task: {4CDB1812-8368-4EB9-90EA-394FCEE3313C} - \MAnrEVOPXhcbgmY2 -> Нет файла <==== ВНИМАНИЕ Task: {8C1828BF-80BE-4F88-B211-37366A70A804} - System32\Tasks\SoundBot => "C:\Program Files (x86)\WooTechy SoundBot\SoundBot.exe" (Нет файла) Edge DefaultSearchURL: Default -> hxxps://xfinder.pro/q?q={searchTerms} Edge DefaultSearchKeyword: Default -> xfinder.pro Edge DefaultSuggestURL: Default -> hxxps://xfinder.pro/q/suggest.php?q={searchTerms} C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bnpmkmcamoacddcnjkobopobelfpopih C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms} CHR DefaultSearchKeyword: Default -> cdn C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibelonnacmgoaladeghmbimpakocfpdi C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe CHR HKU\S-1-5-21-3664989130-564431745-468995213-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf] YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms} YAN DefaultSearchKeyword: Default -> find-it.pro YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms} C:\Users\admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\gkkmabhigonoldnhaegcehdlolfeldfe C:\Users\admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1474560 2025-08-30] (Microsoft Windows -> Microsoft Corporation) U2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [98304 2025-08-30] (Microsoft Windows -> Microsoft Corporation) S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [114688 2025-08-30] (Microsoft Windows -> Microsoft Corporation) S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [94208 2025-08-30] (Microsoft Windows -> Microsoft Corporation) S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [184720 2025-08-30] (Microsoft Windows -> Корпорация Майкрософт) S3 AtiDCM; \??\C:\Users\admin\AppData\Local\Temp\atdcm64a.sys [X] <==== ВНИМАНИЕ 2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\WindowsTask 2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service 2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\Setup 2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\ReaItekHD 2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\RDP Wrapper 2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\Program Files\RDP Wrapper 2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\Program Files (x86)\360 2025-06-07 09:54 - 2025-07-25 12:45 - 000000599 _____ () C:\Users\admin\setup.dat 2025-08-05 12:03 C:\Program Files\RDP Wrapper 2025-08-05 12:03 C:\Program Files (x86)\360 2025-08-05 12:03 C:\ProgramData\RDP Wrapper 2025-08-05 12:03 C:\ProgramData\ReaItekHD 2025-08-05 12:03 C:\ProgramData\Setup 2025-08-05 12:03 C:\ProgramData\Windows Tasks Service 2025-08-05 12:03 C:\ProgramData\WindowsTask pheasant tell 5.9.98.566 (HKLM-x32\...\{0228f8dc-3cb8-4fba-bc91-f71265d6efef}) (Version: 5.9.98.566 - Coppola SPA SPA) Hidden AlternateDataStreams: C:\ProgramData:1826335c [1198] AlternateDataStreams: C:\ProgramData:DNS [40] AlternateDataStreams: C:\Users\All Users:1826335c [1198] AlternateDataStreams: C:\Users\All Users:DNS [40] AlternateDataStreams: C:\Users\Все пользователи:1826335c [1198] AlternateDataStreams: C:\Users\Все пользователи:DNS [40] AlternateDataStreams: C:\Users\admin\Application Data:1826335c [1198] AlternateDataStreams: C:\Users\admin\Application Data:DNS [40] AlternateDataStreams: C:\Users\admin\AppData\Roaming:1826335c [1198] AlternateDataStreams: C:\Users\admin\AppData\Roaming:DNS [40] AlternateDataStreams: C:\Users\admin\Documents\GTA San Andreas User Files:1826335c [1198] AlternateDataStreams: C:\ProgramData\Application Data:1826335c [1198] AlternateDataStreams: C:\ProgramData\Application Data:DNS [40] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:1826335c [1198] AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5356] FirewallRules: [{4C7DAEC7-E05B-4E22-B4FA-6CE6DB2463ED}] => (Allow) C:\Program Files (x86)\DriverPack\tools\aria2c.exe => Нет файла FirewallRules: [{49CD62EF-45EA-41C1-B95A-0B1D0ED7750B}] => (Allow) C:\Users\admin\MediaGet2\mediaget.exe => Нет файла FirewallRules: [{9A07DC71-22F0-4CBF-A92E-959865C00CB8}] => (Allow) C:\Users\admin\MediaGet2\mediaget.exe => Нет файла FirewallRules: [{0BA9DDD4-28E1-46A5-89DE-CFA92EB4CCC4}] => (Allow) C:\Users\admin\MediaGet2\QtWebEngineProcess.exe => Нет файла FirewallRules: [{A4997928-382E-4779-B18E-58753C1DC911}] => (Allow) C:\Users\admin\MediaGet2\QtWebEngineProcess.exe => Нет файла FirewallRules: [{3A900BBA-B983-4EBB-92EE-662D35729CC6}] => (Allow) C:\Users\admin\AppData\Local\proxy-sdk\proxy-sdk.exe => Нет файла FirewallRules: [TCP Query User{B6C32156-72CA-4D85-B09B-8AF19E060934}C:\program files (x86)\ufiler\ufiler.exe] => (Allow) C:\program files (x86)\ufiler\ufiler.exe => Нет файла FirewallRules: [UDP Query User{D221D020-6EE7-4826-897D-02B44808A647}C:\program files (x86)\ufiler\ufiler.exe] => (Allow) C:\program files (x86)\ufiler\ufiler.exe => Нет файла EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. В перечне установленных программ должна появиться скрытая ранее Деинсталлируйте. Скачайте архив с твиками реестра, извлеките их и последовательно запустите каждый, соглашаясь с внесением изменений.

С расшифровкой файлов не сможем помочь без приватного ключа. Как избежать новых ситуаций с шифрованием: Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Addition.txt FRST.txt Shortcut.txt

Здравствуйте! Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО: Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files (x86)\rHPotDbdxQEU2\jTTNhDpUAORZf.dll', ''); QuarantineFile('C:\Users\admin\AppData\Roaming\utorrent\UtorrentWeb.exe', ''); DeleteSchedulerTask('kIcTmBftZcXrpb'); DeleteSchedulerTask('UpdateTorrent'); DeleteFile('C:\Program Files (x86)\rHPotDbdxQEU2\jTTNhDpUAORZf.dll', '64'); DeleteFile('C:\Users\admin\AppData\Roaming\utorrent\UtorrentWeb.exe', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(22); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

+ проверьте ЛС.

и как расшифровать, не понял

Здравствуйте! Возникла проблема, у меня из за вирусов не работает центр обновления Windows, также переименовались службы: wuauserv_bkp, BITS_bkp, dosvc.bkp UsoSvc.bkp и WasSMedicSvc_bkp. Что мне делать? CollectionLog-2025.10.10-12.31.zip

Добрый день @vadimmm Какая у вас версия Windows и Kaspersky Free? @kmscom, с сертификатом домена на скриншоте все нормально. У ТС проблемы с корневыми сертификатами судя по всему.

@andrew75, спасибо

Детект по файлу: ESET-NOD32 A Variant Of Win32/Filecoder.Mimic.C Kaspersky HEUR:Trojan-Ransom.Win32.Mimic.gen DrWeb Trojan.Encoder.40979 https://www.virustotal.com/gui/file/5146371d988892e8eba6ea12cf449eaca96d2bcc38211086a8e6f4c79475279d?nocache=1

файл загружен, ссылка удалена

Попробуйте этот же файл восстановить через менеджер карантина. после восстановления переименуйте его в svhost.vexe, чтобы случайно не был запущен. Далее, в в архив с паролем virus, в облачный диск. Потом удалить.

нашел, спасибо файл загружен, ссылка удалена

Локальный веб-сервер. Связка Apache - MySQL - PHP. Можно даже на Windows. Но сделать прилично бесплатно, это утопия.

Здесь смотрели? т.е. надо смотреть папку C:\Users\учетная запись, под которой вы сканировали\Doctor Web\\CureIt Quarantine Если здесь не найдется, пробуйте восстановить через менеджер карантина. Этот файл: C:\Users\Администратор\AppData\Local\28B04320-3169-792D-9126-537F02F1B84D\svhost.exe - infected with Trojan.Encoder.40979 После добавления в архив с паролем virus, файл можно удалить.

Добрый день. Бюджетное учреждение. Зам. директора задал задачку создать для хозотдела некую систему регистрации работ, регистрации выполнения этих работ с возможностью для просмотра истории задач. На бесплатной основе! Регистрация пользователей должна быть (админы с бо́льшими правами и простые смертные, подающие заявки). Простым пользователям закрыть доступ к переключателю выполнения/невыполнения. Графу расходов с подсчетом общей текущей суммы тоже надо предусмотреть. Представил себе СУБД, но доступ должен быть с любого компьютера. Лучше некая Интернет-база, подумалось. Конструкторы сайтов посмотрел: валят целый лес, чтобы вырезать шкатулку (кажется, А.Дюма так говорил про Г.Флобера)... Может, кто даст умный совет? Спасибо заранее всем.

папки от cureit я не нашел нигде в инете пишут что ее нет CureIt файлы из карантина не хранятся в отдельной папке, а доступны через «Менеджер Карантина» а там только кнопки восстановить и удалить

Приложение YandexDisk2.exe занесите в список Доверенных https://support.kaspersky.ru/help/Kaspersky/Win21.22/ru-RU/201385.htm И в на вкладке Исключения для данного приложения отключить проверку зашифрованного трафика. И покажите ещё сертификат.

Добавьте так же папку карантина Cureit в архиве, с паролем virus

Помогите. не хочется переходить на другой антивирус. Событие: Обнаружено SSL-соединение c недействительным сертификатом Тип пользователя: Не определено Имя приложения: YandexDisk2.exe Путь к приложению: C:\Users\Пользователь\AppData\Roaming\Yandex\YandexDisk2\3.2.45.5100 Компонент: Интернет-защита Описание результата: Запрещено Имя объекта: cloud-api.yandex.net Причина: Этот сертификат или цепочка сертификатов построены на недоверенном корневом центре. и сюда на форум не отправляется сообщение. предлагает в поддержку написать, пока не разрешишь нажав кнопку продолжить 3-4 раза (там всякие другие выскакивают яндексовские домены)

https://cloud.mail.ru/public/LqWA/HEw6RnhRr папка карантина Fixlog.txt

Спасибо! Завели проблему, будем смотреть.

Облёт Шивелуча. Вид со стороны "воротника" - Новый конус растёт. Надолго ли? Сколько по времени он выдержит? Тот факт, что там однозначно выдавливаются породы (это видно по "волдырю" на вершине) - значит, оно скоро снова "долбанёт", и весьма нехило.. Увы, облачность "на поясе вулкана" не дала нам осмотреть всё великолепие.. Посему - не считается. Шивелуч мы видели, но не целиком! Облёт вершины (где "воротник" вулкана) - А вот обратите внимание на эти лавовые потоки: Вот именно эти: Видно же, что они текли откуда-то сильно выше. То есть, не так уж и давно (несколько тысяч лет назад) этот вулкан был заметно более "стройным". Но, повыше он был и лаву пулял из своего верхнего кратера в больших объёмах. Потом же он по каким-то прочинам провалился внутрь, усох - и только вот эти лавовые потоки свидетельствуют о его былом величии.