diff --git a/decisions/2026-04-24-finland-vps-malware-cleanup.md b/decisions/2026-04-24-finland-vps-malware-cleanup.md
index 2f729f7..0236d80 100644
--- a/decisions/2026-04-24-finland-vps-malware-cleanup.md
+++ b/decisions/2026-04-24-finland-vps-malware-cleanup.md
@@ -74,3 +74,37 @@ tags: [niikn, vpn, security, malware, finland]
 ssh -i ~/.ssh/id_ed25519 root@78.17.4.225   # только ключ
 # Пароль sshpass больше не работает (PasswordAuthentication=no)
 ```
+
+## Проверка через 3 часа после очистки (24 Apr ~15:30 UTC)
+**Всё устойчиво:**
+- Malware-процессов: 0
+- Внешних подозрительных соединений: 0
+- Файлы-ловушки целы (0 байт + `chattr +i`), новых дропперов в /tmp/var/tmp нет
+- C2 OUTPUT DROP счётчики **не растут** (только +6 пакетов на 170.168.103.27 — доумирающие TCP-ретраи): 95 / 80 / 21
+- INPUT DROP `amnezia-panel→host:22` — 10,563 пакетов (легитимный collect_metrics.php каждую минуту, безвреден)
+- fail2ban: 54 IP забанены за сутки, 1211 failed отбито
+- vnstat: вчера 1.77 GiB, сегодня 749 MiB (92 kbit/s) — **норма** (раньше 120 Мбит/с при заражении)
+- AmneziaWG: handshake свежий, клиенты НИИКН активны, передано 2.03 GiB
+
+**Очистка устойчива. Watchdog'ов не осталось. Сервер можно оставить в работе.**
+
+## Хеши malware (для blocklist)
+Сохранены в `/root/forensic-20260424/`:
+- `zneirjeklr.bin` (114779 байт) — главный бинарь
+- `1380609993.bin` (3301552 байт) — вторая стадия
+
+## Сетевые IOC (Indicators of Compromise)
+**C2 IP (заблокированы в OUTPUT):**
+- 141.98.10.115:1531
+- 170.168.103.27:29205
+- 64.89.161.144:40778
+
+**Brute-force источники (топ-10 за период до очистки):**
+- 91.142.77.101 — 67,267 попыток
+- 91.142.78.60 — 66,472
+- 91.142.78.8 — 36,116
+- 176.120.22.13 — 5,164
+- 223.76.107.28 — 5,131
+- 80.66.66.70 — 3,128
+
+Эти IP уже автоматически попадают в fail2ban при появлении.