proton xoscarfcysrp.exe не удаляется, KMIDTIPP остановлена, но не удаляется

[HVZ]

2026-03-27_08-11-41_log.txt

Addition.txtFRST.txt

[safety]

Хорошо, майнер прибит, с расшифровкой файлов после Proton не поможем.

Если нужна оптимизация работы системы, обращайтесь в раздел Компьютерной помощи, или обнаружение вредоносного кода.

 

Общие рекомендации:

 

Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

[HVZ]

5 минут назад, safety сказал:

Proton

1.Proton, что это?

2.Дипсик почему то усмотрел в этом MedusaLocker, он ошибся как всегда, или это одно и тоже?

3.Как правильно ждать дешифратор, где отслеживать?

4.Почему жуткие тормоза на компе?

[thyrex]

Кое-какой мусор еще почистим

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [Timestasks] => C:\ProgramData\TimeTasks\timetasks.exe" (No File)
HKLM-x32\...\Run: [CMS] => C:\Program Files (x86)\Polyvision\CMS\CMS.exe (No File)
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (No File)
HKLM\SOFTWARE\Policies\Microsoft\MRT: Restriction <==== ATTENTION
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ATTENTION
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\Run: [TrackChecker] => "D:\Program Files (x86)\TrackChecker\TrackChecker.exe" (No File)
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\Run: [Akamai NetSession Interface] => "C:\Users\1\AppData\Local\Akamai\netsession_win.exe" (No File)
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\Run: [Browser Manager] => C:\Users\1\AppData\Local\Yandex\BrowserManager\MBLauncher.exe (No File)
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\Run: [mailruhomesearch] => "C:\Users\1\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred (No File)
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\Run: [MailRuUpdater] => C:\Users\1\AppData\Local\Mail.Ru\MailRuUpdater.exe (No File) <==== ATTENTION
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\Run: [BewardIPVisor] => C:\Program Files\BEWARD\BEWARD IP Visor\BewardIPVisor.exe (No File)
ContextMenuHandlers1-x32: [OpenFolder] -> {0DE1378D-F811-40E6-B60A-1CC56F57D3E9} => D:\Program Files (x86)\TradeManager\AliIMExt.dll -> No File
ContextMenuHandlers1: [PicaView32] -> {68f32140-2ca3-11d0-acc1-444553540000} => C:\PROGRA~1\PICAVI~1\PicaView32.dll -> No File
ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => D:\Program Files\WinRAR\rarext.dll -> No File
ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => D:\Program Files\WinRAR\rarext32.dll -> No File
ContextMenuHandlers3: [STKContextMenu] -> {90DD7445-E924-4c6e-92AC-01F8C3A7E0C7} => D:\Program Files (x86)\Amazon\SendToKindle\stkContextMenu_250.dll -> No File
ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => D:\Program Files\WinRAR\rarext.dll -> No File
ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => D:\Program Files\WinRAR\rarext32.dll -> No File
AlternateDataStreams: C:\Windows:nlsPreferences [386]
AlternateDataStreams: C:\ProgramData\Reprise:yhuwxvwhfkxkcgmvjenbtlifh [0]
AlternateDataStreams: C:\ProgramData\Temp:41ADDB8A [147]
AlternateDataStreams: C:\ProgramData\Temp:A064CECC [139]
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll => No File
BHO-x32: Search@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\1\AppData\Local\Mail.Ru\Sputnik\ie_addon_dll.dll => No File
HKLM\...\StartupApproved\Run32: => "Timestasks"
HKLM\...\StartupApproved\Run32: => "ZaxarGameBrowser"
HKLM\...\StartupApproved\Run32: => "ZaxarLoader"
FirewallRules: [{B643A1FE-7384-44DE-8F31-169AB67FEF6F}] => (Allow) C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe => No File
FirewallRules: [{33F3ABF4-05CB-4682-969F-CA6C624E67D3}] => (Allow) C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe => No File
FirewallRules: [{14D03E15-B65B-4217-A575-BF06C7055BA9}] => (Allow) C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe => No File
FirewallRules: [TCP Query User{73A14E28-5F60-4E88-9951-2CC01362CA6A}C:\users\1\appdata\local\logmein rescue applet\lmir0001.tmp\lmi_rescue.exe] => (Block) C:\users\1\appdata\local\logmein rescue applet\lmir0001.tmp\lmi_rescue.exe => No File
FirewallRules: [UDP Query User{5C63DA2F-2216-4653-8C8E-4161CC9DB735}C:\users\1\appdata\local\logmein rescue applet\lmir0001.tmp\lmi_rescue.exe] => (Block) C:\users\1\appdata\local\logmein rescue applet\lmir0001.tmp\lmi_rescue.exe => No File
FirewallRules: [TCP Query User{571408BF-DE98-41D6-9245-E83BB957278D}D:\program files (x86)\skype\phone\skype.exe] => (Allow) D:\program files (x86)\skype\phone\skype.exe => No File
FirewallRules: [UDP Query User{7BF2B740-A6C0-4ACF-A40B-DDDD969450F6}D:\program files (x86)\skype\phone\skype.exe] => (Allow) D:\program files (x86)\skype\phone\skype.exe => No File
FirewallRules: [TCP Query User{FE0CD832-DAFB-4810-ACDB-5C69AA59F759}D:\program files (x86)\ip camera super-client\superipcam.exe] => (Allow) D:\program files (x86)\ip camera super-client\superipcam.exe => No File
FirewallRules: [UDP Query User{6ACCC248-592C-4889-BBC5-68EE79C5352E}D:\program files (x86)\ip camera super-client\superipcam.exe] => (Allow) D:\program files (x86)\ip camera super-client\superipcam.exe => No File
FirewallRules: [{285077D1-F89F-4AC0-9468-F06999309DE7}] => (Allow) C:\Users\1\AppData\Local\Amigo\Application\amigo.exe => No File
FirewallRules: [{7A20BAEB-A730-4981-95CF-8230746426A6}] => (Allow) D:\Program Files (x86)\TradeManager\AliIM.exe => No File
FirewallRules: [{2365E2C9-5049-4539-B9D2-6A15E841ABF6}] => (Allow) D:\Program Files (x86)\TradeManager\AliIM.exe => No File
FirewallRules: [TCP Query User{2099DADD-9ED8-4332-BE29-1AE6C26FE08B}C:\users\1\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\1\appdata\local\akamai\netsession_win.exe => No File
FirewallRules: [UDP Query User{9AE30CBA-72A1-47C4-925A-E474CA3D9773}C:\users\1\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\1\appdata\local\akamai\netsession_win.exe => No File
FirewallRules: [TCP Query User{987F1944-45AB-44B9-9A3C-A12FECD9560E}D:\program files (x86)\skype\phone\skype.exe] => (Allow) D:\program files (x86)\skype\phone\skype.exe => No File
FirewallRules: [UDP Query User{D3F2F7FC-7733-4831-8E4E-43DAA6734130}D:\program files (x86)\skype\phone\skype.exe] => (Allow) D:\program files (x86)\skype\phone\skype.exe => No File
FirewallRules: [TCP Query User{A5E38B00-6A35-4896-91F8-2B32A7F39D3F}C:\program files (x86)\skype\phone\skype.exe] => (Allow) C:\program files (x86)\skype\phone\skype.exe => No File
FirewallRules: [UDP Query User{4395FB00-5657-468A-85FF-DDFCFD8C9DC0}C:\program files (x86)\skype\phone\skype.exe] => (Allow) C:\program files (x86)\skype\phone\skype.exe => No File
FirewallRules: [TCP Query User{20A68859-8D03-474A-B1F0-9CA2782789D1}D:\program files (x86)\ip camera super-client\devfind.exe] => (Block) D:\program files (x86)\ip camera super-client\devfind.exe => No File
FirewallRules: [UDP Query User{232AD065-0CBE-426B-B15D-298BDFCB97F1}D:\program files (x86)\ip camera super-client\devfind.exe] => (Block) D:\program files (x86)\ip camera super-client\devfind.exe => No File
FirewallRules: [TCP Query User{78B171CA-AEA7-4F1F-AC95-A45E44C4EC5A}C:\program files (x86)\skype\phone\skype.exe] => (Allow) C:\program files (x86)\skype\phone\skype.exe => No File
FirewallRules: [{45635174-EC0C-40A2-B848-94F90F8B5782}] => (Allow) C:\Users\1\AppData\Local\Programs\Opera\48.0.2685.50\opera.exe => No File
FirewallRules: [TCP Query User{F1913872-CB6E-497F-9B37-529348B6F92B}C:\program files (x86)\comboplayer\comboplayer.exe] => (Allow) C:\program files (x86)\comboplayer\comboplayer.exe => No File
FirewallRules: [UDP Query User{A3CDD3BB-8E46-447A-BD1A-658DAFFAA4A0}C:\program files (x86)\comboplayer\comboplayer.exe] => (Allow) C:\program files (x86)\comboplayer\comboplayer.exe => No File
FirewallRules: [TCP Query User{3714FA02-C273-4C2B-B818-188E8B393A49}D:\program files (x86)\teamviewer\teamviewer.exe] => (Block) D:\program files (x86)\teamviewer\teamviewer.exe => No File
FirewallRules: [UDP Query User{CB27AC92-E875-43DA-816F-90A9BC240280}D:\program files (x86)\teamviewer\teamviewer.exe] => (Block) D:\program files (x86)\teamviewer\teamviewer.exe => No File
FirewallRules: [{65BE43E6-892C-4D49-A66A-9CC98ED2C185}] => (Allow) C:\Program Files\AVG\Antivirus\AvEmUpdate.exe => No File
FirewallRules: [{4455F85B-5D19-4514-B838-B296756BD4AC}] => (Allow) C:\Program Files\AVG\Antivirus\AvEmUpdate.exe => No File
FirewallRules: [{517FB4A8-AFAC-4B4A-8EAA-B45B6C0F798E}] => (Allow) D:\Program Files\AOMEI Backupper\PxeUi.exe => No File
FirewallRules: [TCP Query User{D7AF19B2-4EFF-4E35-A1C8-69C6F7F4B3AA}C:\users\1\appdata\local\microsoft\windows\inetcache\ie\ecjxl28k\winbox.exe] => (Allow) C:\users\1\appdata\local\microsoft\windows\inetcache\ie\ecjxl28k\winbox.exe => No File
FirewallRules: [UDP Query User{D764695C-C413-40DA-B1ED-5A68064A4C6A}C:\users\1\appdata\local\microsoft\windows\inetcache\ie\ecjxl28k\winbox.exe] => (Allow) C:\users\1\appdata\local\microsoft\windows\inetcache\ie\ecjxl28k\winbox.exe => No File
FirewallRules: [TCP Query User{0E36ED3C-7B03-49B2-8424-C712F9D89FCE}C:\users\1\appdata\local\microsoft\windows\inetcache\ie\vjdai85l\winbox.exe] => (Allow) C:\users\1\appdata\local\microsoft\windows\inetcache\ie\vjdai85l\winbox.exe => No File
FirewallRules: [UDP Query User{D5018A08-1FF3-41A8-9D1C-5BC61394ABC0}C:\users\1\appdata\local\microsoft\windows\inetcache\ie\vjdai85l\winbox.exe] => (Allow) C:\users\1\appdata\local\microsoft\windows\inetcache\ie\vjdai85l\winbox.exe => No File
FirewallRules: [TCP Query User{74B7B7A5-0FEB-4ED1-99A6-01AA8F509DCA}C:\users\1\appdata\local\microsoft\windows\inetcache\ie\9obl9az5\winbox.exe] => (Allow) C:\users\1\appdata\local\microsoft\windows\inetcache\ie\9obl9az5\winbox.exe => No File
FirewallRules: [UDP Query User{221DD816-9B8B-47CE-92F4-7E5545313C04}C:\users\1\appdata\local\microsoft\windows\inetcache\ie\9obl9az5\winbox.exe] => (Allow) C:\users\1\appdata\local\microsoft\windows\inetcache\ie\9obl9az5\winbox.exe => No File
FirewallRules: [TCP Query User{217D25C7-5597-4497-91B8-7ADC0E2B5EE0}D:\users\1\desktop\11\anydesk.exe] => (Allow) D:\users\1\desktop\11\anydesk.exe => No File
FirewallRules: [UDP Query User{B8DB4699-4966-43D8-8961-3C754E72F1E3}D:\users\1\desktop\11\anydesk.exe] => (Allow) D:\users\1\desktop\11\anydesk.exe => No File
FirewallRules: [TCP Query User{0E86704E-1B70-46AD-9610-A55F8E23B850}D:\users\1\desktop\anydesk.1584979970.exe] => (Allow) D:\users\1\desktop\anydesk.1584979970.exe => No File
FirewallRules: [UDP Query User{CE348F1A-E3AB-41BB-AD0F-ECE98BB2E714}D:\users\1\desktop\anydesk.1584979970.exe] => (Allow) D:\users\1\desktop\anydesk.1584979970.exe => No File
FirewallRules: [TCP Query User{9EFAF27B-0D49-43EF-9B3B-A61A7B4F854A}C:\program files\ispy\ispy.exe] => (Allow) C:\program files\ispy\ispy.exe => No File
FirewallRules: [UDP Query User{5508B724-24CD-427F-A7D9-8F9619F8926C}C:\program files\ispy\ispy.exe] => (Allow) C:\program files\ispy\ispy.exe => No File
FirewallRules: [TCP Query User{89C0E10F-BE04-40DB-9B39-665730420351}C:\users\1\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\1\appdata\local\mediaget2\mediaget.exe => No File
FirewallRules: [UDP Query User{5C3B357E-ED61-44BA-839D-FFA228279B17}C:\users\1\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\1\appdata\local\mediaget2\mediaget.exe => No File
FirewallRules: [TCP Query User{B339E7C3-D768-406A-9DB1-DD3A64D4C1AB}C:\users\1\appdata\roaming\microsoft\windows\start menu\programs\startup\anydesk.exe] => (Allow) C:\users\1\appdata\roaming\microsoft\windows\start menu\programs\startup\anydesk.exe => No File
FirewallRules: [UDP Query User{0CB07CAC-DD16-43A6-916C-44FD64B03A85}C:\users\1\appdata\roaming\microsoft\windows\start menu\programs\startup\anydesk.exe] => (Allow) C:\users\1\appdata\roaming\microsoft\windows\start menu\programs\startup\anydesk.exe => No File
FirewallRules: [{B1A79A61-4C79-497A-8BC7-45F6222F0AF8}] => (Allow) X:\Distr\utorrent\utorrentportable-3_5_5_45574\uTorrentPortable\App\uTorrent\uTorrent.exe => No File
FirewallRules: [{3135887B-1060-4094-B001-EE2ED9A03EF9}] => (Allow) X:\Distr\utorrent\utorrentportable-3_5_5_45574\uTorrentPortable\App\uTorrent\uTorrent.exe => No File
FirewallRules: [TCP Query User{EE223A89-48C3-4386-BED9-FD8727B1F71D}C:\program files (x86)\alibabasupplier\10.03.00e\aliapp.exe] => (Allow) C:\program files (x86)\alibabasupplier\10.03.00e\aliapp.exe => No File
FirewallRules: [UDP Query User{F8528581-73BA-4CBB-A71A-072AC5D5CE6C}C:\program files (x86)\alibabasupplier\10.03.00e\aliapp.exe] => (Allow) C:\program files (x86)\alibabasupplier\10.03.00e\aliapp.exe => No File
FirewallRules: [TCP Query User{99946644-AC29-40B8-900B-317C1D613CB2}C:\users\1\appdata\roaming\microsoft\windows\start menu\programs\startup\anydesk.exe] => (Allow) C:\users\1\appdata\roaming\microsoft\windows\start menu\programs\startup\anydesk.exe => No File
FirewallRules: [UDP Query User{C37CC204-ADBF-4375-ACD7-A4A4A08CAE06}C:\users\1\appdata\roaming\microsoft\windows\start menu\programs\startup\anydesk.exe] => (Allow) C:\users\1\appdata\roaming\microsoft\windows\start menu\programs\startup\anydesk.exe => No File
FirewallRules: [{47E4A756-EA08-4D5E-B6B6-3BA99985A1C4}] => (Allow) D:\Users\1\Desktop\AnyDesk.exe => No File
FirewallRules: [{3ED2FB36-3E84-4DD0-A454-31DCCF445299}] => (Allow) D:\Users\1\Desktop\AnyDesk.exe => No File
FirewallRules: [{D38F35F1-CFBF-45DB-8678-FB32983A26F5}] => (Allow) D:\Users\1\Desktop\AnyDesk.exe => No File
FirewallRules: [{E3F3144D-C435-4BE0-AF97-BBCDB061C555}] => (Allow) D:\Users\1\Desktop\AnyDesk.exe => No File
FirewallRules: [TCP Query User{07950AB2-8FD4-40B2-83D9-17EBB77A3AF2}D:\users\1\desktop\agent_setup_windows\setup.exe] => (Allow) D:\users\1\desktop\agent_setup_windows\setup.exe => No File
FirewallRules: [UDP Query User{45771966-A5C8-4FEE-90C1-9C8B32EA1018}D:\users\1\desktop\agent_setup_windows\setup.exe] => (Allow) D:\users\1\desktop\agent_setup_windows\setup.exe => No File
FirewallRules: [{D360A166-B33D-42A1-A2AD-2B73B8A19816}] => (Allow) C:\Program Files\Agent\Agent.exe => No File
FirewallRules: [TCP Query User{FFA8AA86-9391-4AFD-BD88-EA9C3EA2474F}C:\program files\agent\agenttray.exe] => (Allow) C:\program files\agent\agenttray.exe => No File
FirewallRules: [UDP Query User{0371176D-CEF6-471A-9752-4B2E6D0E6DD3}C:\program files\agent\agenttray.exe] => (Allow) C:\program files\agent\agenttray.exe => No File
FirewallRules: [{D4A1D529-F02D-4B53-86F1-4EAD3BA8FAED}] => (Allow) C:\Program Files\Agent\Agent.exe => No File
FirewallRules: [TCP Query User{B50E665F-BBFC-4AE1-B7C4-C046A910AADC}D:\found.000\dir0000.chk\superipcam.exe] => (Block) D:\found.000\dir0000.chk\superipcam.exe => No File
FirewallRules: [UDP Query User{661B0263-AE46-4C7A-A0B5-BB626BAE06FA}D:\found.000\dir0000.chk\superipcam.exe] => (Block) D:\found.000\dir0000.chk\superipcam.exe => No File
FirewallRules: [TCP Query User{67203954-959A-40F7-AC49-F842120CDD7F}D:\program files (x86)\updated\ip camera super-client\superipcam.exe] => (Allow) D:\program files (x86)\updated\ip camera super-client\superipcam.exe => No File
FirewallRules: [UDP Query User{0533BCA6-6466-451E-8B0F-C091C7CC9F29}D:\program files (x86)\updated\ip camera super-client\superipcam.exe] => (Allow) D:\program files (x86)\updated\ip camera super-client\superipcam.exe => No File
FirewallRules: [TCP Query User{09C94D35-1AC2-4E44-8A91-810FD43AAACF}C:\program files (x86)\ip camera super-client\superipcam.exe] => (Allow) C:\program files (x86)\ip camera super-client\superipcam.exe => No File
FirewallRules: [UDP Query User{001E2B7E-047C-4A89-87C7-E767544FA091}C:\program files (x86)\ip camera super-client\superipcam.exe] => (Allow) C:\program files (x86)\ip camera super-client\superipcam.exe => No File
FirewallRules: [TCP Query User{E89087CE-0F01-4D70-9B1B-3893B5271E99}D:\program files\videolan\vlc\vlc.exe] => (Allow) D:\program files\videolan\vlc\vlc.exe => No File
FirewallRules: [UDP Query User{2AC26A40-9508-43A3-AEAA-FFA76A5FEEAA}D:\program files\videolan\vlc\vlc.exe] => (Allow) D:\program files\videolan\vlc\vlc.exe => No File
FirewallRules: [{62D2015C-E0CA-49EE-AC38-883AA6DF05A3}] => (Block) N:\Program Files\Corel\CorelDRAW Graphics Suite 2019\Programs64\CorelDrw.exe => No File
FirewallRules: [TCP Query User{360DA692-D14F-457D-9F12-0169366F9389}C:\program files (x86)\alibabasupplier\10.37.01e\aliapp.exe] => (Allow) C:\program files (x86)\alibabasupplier\10.37.01e\aliapp.exe => No File
FirewallRules: [UDP Query User{ECC36C12-6DE6-4BFA-AB34-7ED18B9178AD}C:\program files (x86)\alibabasupplier\10.37.01e\aliapp.exe] => (Allow) C:\program files (x86)\alibabasupplier\10.37.01e\aliapp.exe => No File
FirewallRules: [TCP Query User{05C1CE69-8360-4773-8F1C-A30BC4FCBD3D}C:\program files (x86)\alibabasupplier\10.42.01e\aliapp.exe] => (Block) C:\program files (x86)\alibabasupplier\10.42.01e\aliapp.exe => No File
FirewallRules: [UDP Query User{97A3199E-EB60-41C8-9A92-AD013E3A3E12}C:\program files (x86)\alibabasupplier\10.42.01e\aliapp.exe] => (Block) C:\program files (x86)\alibabasupplier\10.42.01e\aliapp.exe => No File
FirewallRules: [TCP Query User{45B29185-EA72-423D-AB4A-0931D73109B0}C:\program files (x86)\polyvision\cms\cms.exe] => (Allow) C:\program files (x86)\polyvision\cms\cms.exe => No File
FirewallRules: [UDP Query User{188D14A0-2C3B-465D-88F1-416869B1C4C9}C:\program files (x86)\polyvision\cms\cms.exe] => (Allow) C:\program files (x86)\polyvision\cms\cms.exe => No File
FirewallRules: [{3E71FC96-73EA-4069-97A4-71480FFF9103}] => (Allow) C:\Program Files\BEWARD\BEWARD Record Center\BewardRecordService.exe => No File
FirewallRules: [{B7150B00-01FF-4449-B894-1C5E55E79DDF}] => (Allow) C:\Program Files\BEWARD\BEWARD Record Center\BewardRecordService.exe => No File
FirewallRules: [{3E106324-D1EA-40E3-8EB1-819D3EAE7D40}] => (Allow) C:\Program Files\BEWARD\BEWARD Record Center\BewardRecordService.exe => No File
FirewallRules: [TCP Query User{3F33AD72-8BA9-4817-BC27-E77CBFC59694}C:\program files\beward\beward record center\brscontroller.exe] => (Allow) C:\program files\beward\beward record center\brscontroller.exe => No File
FirewallRules: [UDP Query User{281E402E-1E8A-4DE2-AA63-915FD4817497}C:\program files\beward\beward record center\brscontroller.exe] => (Allow) C:\program files\beward\beward record center\brscontroller.exe => No File
FirewallRules: [{51DAA067-62B9-42A5-A928-30DB1BE658E4}] => (Allow) C:\Program Files\BEWARD\BEWARD IP Visor\BewardIPVisor.exe => No File
FirewallRules: [{19B0AE41-BB2E-499D-AE22-A67AFB805D12}] => (Allow) C:\Program Files\BEWARD\BEWARD IP Visor\BewardIPVisor.exe => No File
FirewallRules: [{59B274EA-4FAC-4554-B073-DBB5E2A03EF8}] => (Allow) C:\Program Files\BEWARD\BEWARD IP Visor\BewardIPVisor.exe => No File
FirewallRules: [{4C92E349-A620-4529-A20E-486A1A1B241B}] => (Allow) C:\Program Files (x86)\Beward\Beward IP Searcher Standard\BewardIPSearcher.exe => No File
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/8/ reg-файлы для служб BITS, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр, после этого перезагрузите компьютер.

[safety]

38 минут назад, HVZ сказал:

1.Proton, что это?

2.Дипсик почему то усмотрел в этом MedusaLocker, он ошибся как всегда, или это одно и тоже?

3.Как правильно ждать дешифратор, где отслеживать?

1. Здесь есть информация по шифровальщику. Если те файлы, которые вы предоставили нам, взяты с вашего ПК, то это Proton, хотя следов шифрования на вашем ПК, судя по логам FRST не обнаружено.

2. А что именно вы показали Дипсику? Он  ошибся, MedusaLocker, - не было на вашем ПК.

3. рекомендации по правильной настройке даны выше в моем предыдущем сообщении.

[HVZ]

24 минуты назад, safety сказал:

1. Здесь есть информация по шифровальщику. Если те файлы, которые вы предоставили нам, взяты с вашего ПК, то это Proton, хотя следов шифрования на вашем ПК, судя по логам FRST не обнаружено.

 

Есть повод порадоваться, этот комп пострадал не сильно, но тормозит жутко))

Зашифрованные файлы и письмо вымогателей, которые я присылал, были на другом компе в той же сети

Надо добавить логи FRST с того компа? Получается я был где то не внимателен и отнимал ваше время на не сильно пострадавший?

[HVZ]

thyrex, прикрепляю результат с зашифрованного компа

Fixlog.txt FRST.txt Addition.txt

[safety]

1 час назад, HVZ сказал:

Получается я был где то не внимателен и отнимал ваше время на не сильно пострадавший?

По факту, да. Вместо очистки зашифрованной системы пришлось потратить время на очистку другой системы от майнера. Который в общем тоже основательно навредил работе ПК. По другой системе (где было шифрование) пройдитесь сканером KVRT, он должен выявить и удалить сэмплы шифровальщика. А с расшифровкой файлов, к сожалению, не сможем помочь. Рекомендации примените ко всем ПК: и тем которые пострадали, и тем, которые еще пострадают.

Изменено 28 марта пользователем safety

[HVZ]

 

12 минут назад, safety сказал:

пройдитесь сканером KVRT, он должен выявить и удалить сэмплы шифровальщика.

логи сюда?

13 минут назад, safety сказал:

А с расшифровкой файлов, к сожалению, не сможем помочь.

2 часа назад, HVZ сказал:

3.Как правильно ждать дешифратор, где отслеживать?

4.Почему жуткие тормоза на компе?

 

[safety]

Да, логи KVRT можно добавить сюда. Но опять же. Сделайте их именно в системе, которая была зашифрована.

Цитата

3.Как правильно ждать дешифратор, где отслеживать?

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено 28 марта пользователем safety

[HVZ]

3.отслеживать появление дешифратора я имел ввиду

19 минут назад, HVZ сказал:

4.Почему жуткие тормоза на компе?

[safety]

3 минуты назад, HVZ сказал:

3.отслеживать появление дешифратора я имел ввиду

Здесь все просто. На столе появились записки с требованием о выкупе, на русском или английском языке. рабочие файлы и документы перестали открываться, сменили название, изменилось расширение. Значит к вам в гости пожаловал шифровальщик.

 

По тормозам - я написал выше, куда обратиться, что в данном разделе мы не занимаемся лечением зараженных систем. Сделали исключение для майнера, так как вы немного нас ввели в заблуждение, что эта система была зашифрована.

[HVZ]

Еще раз прошу прощения. Ввел в заблуждение не намеренно.

3 часа назад, safety сказал:

раздел Компьютерной помощи, или обнаружение вредоносного кода.

Это, верно?

 

4 минуты назад, safety сказал:

Значит к вам в гости пожаловал шифровальщик.

отслеживать не шифроыальщик, а появление дешифратора

[HVZ]

35 минут назад, safety сказал:

Да, логи KVRT можно добавить сюда. Но опять же. Сделайте их именно в системе, которая была зашифрована.

KVRT ничего не обнаружил (запускал на загифрованном компе)

есть еще зашифрованный QNAS на нем тоже как то надо запускать?

[safety]

Вряд ли запуск KVRT возможен на QNAS, скорее всего пошифровали те файлы, которые были доступны по сети с устройства под Win, на котором был запуск Proton-а.