Активность

По возможности обновите данное ПО: Microsoft Office Standard 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Среда выполнения Microsoft Edge WebView2 Runtime v.120.0.2210.61 Внимание! Скачать обновления ^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^ WinRAR 5.91 (32-разрядная) v.5.91.0 Внимание! Скачать обновления -------------------------- [ IMAndCollaborate ] --------------------------- Discord v.1.0.9059 Внимание! Скачать обновления AmneziaVPN v.4.8.3.1 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- Zona Внимание! Клиент сети P2P с рекламным модулем! --------------------------- [ AdobeProduction ] --------------------------- Adobe Acrobat (64-bit) v.22.003.20322 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ ------------------------------- [ Browser ] ------------------------------- Opera GX Stable 120.0.5543.204 v.120.0.5543.204 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ Vivaldi v.7.3.3635.12 Внимание! Скачать обновления Autorun Organizer, версия 5.37 v.5.37 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

SecurityCheck.txt

Отлично, теперь полная очистка системы завершена. Судя по логу выполнения скрипта былой активности майнера уже нет. И вы должны это заметить, как ваша система вздохнула свободно после очистки. :). Далее, Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению.

2025-09-05_10-29-11_log.txt SAMURAI_2025-09-05_10-32-36_v5.0.1v x64.7z

Дешифратор есть, но к нему необходимы приватные ключи, которыми было выполнено шифрование. Без ключей расшифровка файлов после Mimic невозможна. И универсального ключа нет, который подошел бы ко всем случаям шифрования Mimic.

Здравствуйте! Программу Alibaba Supplier ставили самостоятельно? Если нет, деинсталлируйте. Далее: Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-3791147441-2617593827-1758140989-1001\...\MountPoints2: {1e4151e3-a52c-11ef-b7c8-e86538bbbeb7} - "H:\AutoRun.exe" HKU\S-1-5-21-3791147441-2617593827-1758140989-1001\...\MountPoints2: {4fac3b09-1466-11f0-b7e3-e86538bbbeb8} - "L:\Autoplay.exe" -auto HKU\S-1-5-21-3791147441-2617593827-1758140989-1001\...\MountPoints2: {b60a5123-fb7d-11ef-b7d6-e86538bbbeb8} - "K:\Autoplay.exe" -auto HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ ProxyServer: [S-1-5-21-3791147441-2617593827-1758140989-1001] => 127.0.0.1:10809 RemoveProxy: C:\Users\user\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ggnchfknjkebijkdlbddehcpgfebapdc C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe CHR HKU\S-1-5-21-3791147441-2617593827-1758140989-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] 2025-08-28 00:45 - 2025-08-28 00:45 - 000000000 _RSHD C:\ProgramData\RDP Wrapper AlternateDataStreams: C:\Users\user\AppData\Local\Temp:$DATA [16] FirewallRules: [{09B5F0AF-6133-4963-988F-0AD2FE245033}] => (Allow) C:\Users\user\AppData\Local\Temp\rh_package\SabyAdmin_1035490543.exe => Нет файла FirewallRules: [{214A383F-2660-432A-B4BD-CE6E7927BAB1}] => (Allow) C:\Users\user\AppData\Local\Temp\rh_package\SabyAdmin_1035490543.exe => Нет файла FirewallRules: [{BB3108F8-45C7-443A-B20A-1DBAE9BA5A40}] => (Allow) C:\Users\user\AppData\Local\Temp\rh_package\SabyAdmin_1035490543.exe => Нет файла FirewallRules: [{9E4FA978-5DD3-402A-8B1E-E07D9C8EB0C9}] => (Allow) LPort=5159 FirewallRules: [{C5DC7A45-D628-4EAF-A1A1-8CB56D35958C}] => (Allow) LPort=5150 FirewallRules: [{C9E6FB2E-104A-40FD-83CD-EF963762DE9B}] => (Allow) LPort=5160 FirewallRules: [{1E95B96C-FC13-40FF-8C47-2B34BC4A6672}] => (Allow) C:\Program Files\Seagull\BarTender 2021\AdminConsole.exe => Нет файла FirewallRules: [{EF64A40B-A3E4-40EF-8808-6F208B2B20C0}] => (Allow) C:\Program Files\Seagull\BarTender 2021\AdminConsole.exe => Нет файла FirewallRules: [{DECCB03A-217D-409E-ACA7-82B49D560AB3}] => (Allow) C:\Program Files\Seagull\BarTender 2021\Maestro.Service.exe => Нет файла FirewallRules: [{186444A3-1939-4645-8D99-84804870E5A7}] => (Allow) C:\Program Files\Seagull\BarTender 2021\Maestro.Service.exe => Нет файла FirewallRules: [{F0DC84DA-E728-4ED6-A058-B0577C5B5B22}] => (Allow) LPort=5130 FirewallRules: [{90683FEF-CAA7-4FC5-BB5F-C5982DD5AF37}] => (Allow) LPort=32683 FirewallRules: [{69F5EE2A-5EC4-438B-9B20-07CEA1B4B7A4}] => (Allow) LPort=33683 FirewallRules: [{7C636874-211C-4E9F-949D-CBF7A67404B5}] => (Allow) LPort=26822 ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

Логи полные нужны, FRST.txt и Addition.txt + записка о выкупе.

Добрый день! Спасибо за информацию. Меры примем. Планируется ли в будущем разработка дешифровщика к данному типу?

просьба, не цитировать мои сообщения - в этом нет необходимости, просто пишите ваш ответ. Хорошо, теперь надо зачистить ненужные исключения в Windef, которые были добавлены вредоносными программами. Сделаем это еще раз через uVS, при запуске uVS надо отключить постоянную защиту штатных антивирусов (кроме Windef). Скрипт для выполнения такой: ;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;---------command-block--------- delall %SystemDrive%\PROGRAMDATA\ILSHOBHUTIFB\ZFFLNFQVPEQE.EXE delref WDE:\.EXE delref %SystemDrive%\USERS\YULIY\APPDATA\LOCAL delref %SystemDrive%\PROGRAM FILES delref %SystemDrive%\PROGRAM FILES (X86) delref %SystemDrive%\PROGRAMDATA delref %SystemDrive%\USERS\YULIY\APPDATA\ROAMING delref %Sys32%\CONFIG\SYSTEMPROFILE delref %SystemDrive%\USERS\YULIY apply restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + сделайте контрольный образ автозапуска в uVS (без отслеживания процессов)

Гран-при ИТАЛИИ | ЭТАП 16 П О Р Т А Л П Р О Г Н О З О В приём ставок на соревнование «Формулы-1» ¤ ¤ ¤ СТАВКИ ПРИНИМАЮТСЯ С 06 СЕНТЯБРЯ ДО 1655 06 СЕНТЯБРЯ (время московское)

Судя по логам FRST очистка майнера прошла успешно. Файла zfflnfqvpeqe.exe нет в автозапуске. продолжаем очистку системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6008] AlternateDataStreams: C:\Users\yuliy\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\yuliy\Application Data:48e63d4de0a63256000858a7c61c87df [394] AlternateDataStreams: C:\Users\yuliy\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\yuliy\AppData\Roaming:48e63d4de0a63256000858a7c61c87df [394] GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url> Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Addition.txt

Второй файл логов Addition.txt так же необходим.

3.09.25 Вечером было все нормально. Серверная машина всю ноч работала. Утром все зашифровано. FRST.txt virus.rar

FRST.txt 2025-09-05_09-16-09_log.txt

Много таких файлов? или задвоение было только на *.vhd?

Здравствуйте! примерно месяц жена установила русификатор для игры и на компьютере появился вирус. Зачистила угрозы, KVRT и DRWeb прогоняла, логи не нашел. Через время начал замечать что вентиляторы шумновато работают а сам компьютер теплый даже в холодные дни. И с несколько дней назад появилась такая фишка - отправляю в сон, все гаснет но компьютер не выключается, жму на клаву и вентили начинают взлетать. Открываю диспетчер - и тут же нагрузка падает и все становится тихо. Естественно гугл и изучение тем. Прогнал KVBR, ничего криминального не заметил, далее по темам смежным AVBR, который нашел майнер? какой-то и потом логи FRST64. Все прилагаю. Скажите пожалуйста - на сколько там все страшно, пароли нужно менять? чтото еще поправить, прогнать? Заранее вам большое спасибо за вашу работу! AV_block_remove_2025.09.05-04.58.log FRST.rar report_2025.09.05_04.39.00.klr.rar

С расшифровкой файлов не сможем помочь по данному типу шифровальщика. + проверьте ЛС. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Указанные логи нужны для проверки системы. вы могли восстановить старые файлы, а новые файлы, добавленные злоумышленниками остались в системе.

Похоже на Mimic, добавьте несколько зашифрованных файлов+записку о выкупе в одном архиве без пароля, + нужны будут логи FRST от имени Администратора для последующей очистки системы.

Похоже, что не помогло. Новый скрипт для uVS Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. ;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE icsuspend delfake sreg ;---------command-block--------- delref %SystemDrive%\PROGRAMDATA\ILSHOBHUTIFB\ZFFLNFQVPEQE.EXE areg restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + добавьте новые логи FRST для контроля По ссылке надо будет зайти, там инструкция есть, как создать данные логи. FRST - это другая программа для анализа, так же используем ее для очистки системы.

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. tapinambur (45)Бенджамин Лайнус (31)Mr.kvn (42)ilya003 (37)Kate (38)КСВ (71)

Вытащил диск, вот пару зашифрованных файлов пароль infected files.rar

Добрый вечер! Ссылка архив загружен, ссылка удалена. на карантин и Fixlog.txt Fixlog.txt