lockbit v3 black Утром приключилась беда. Схватил шифровальщика. Расширение .TeGgRfQk1.

[АндрейПеркка]

Утром приключилась беда-подхватил шифровальщика. Где, не знаю. В каждой папке закрепленный текстовый файл. Расширение .TeGgRfQk1. Требую денег,   почта help@room155.online, room155@tuta.io. Телега- @HelpRoom155. Помогите. Очень нужные файлы на компе. Прошу помощи.

TeGgRfQk1.README.txt

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[АндрейПеркка]

Утром приключилась беда-подхватил шифровальщика. Где, не знаю. В каждой папке закрепленный текстовый файл. Расширение .TeGgRfQk1. Требую денег,   почта help@room155.online, room155@tuta.io. Телега- @HelpRoom155. Помогите. Очень нужные файлы на компе. Прошу помощи.

Архив WinRAR.rar

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены.

[thyrex]

Цитата

C:\Users\Валерия\AppData\Roaming\Акт сверки взаимных расчетов № 167 по состоянию на 1 августа 2025 года.exe

заархивируйте с паролем malware123 и прикрепите к следующему сообщению.

[АндрейПеркка]

Не могу найти этот файл

 

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
Zip: C:\Users\Валерия\AppData\Roaming\Акт сверки взаимных расчетов № 167 по состоянию на 1 августа 2025 года.exe
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Найдите на Рабочем столе файл вида Дата_Время.zip и прикрепите к сообщению.

[АндрейПеркка]

 файл вида Дата_Время.zip   нет такого

Fixlog.txt

[thyrex]

Запускали проверку на вирусы с помощью Касперского после сбора логов Farbar по правилам?

[АндрейПеркка]

Да

[thyrex]

Значит проверьте, не удалил ли антивирус этот файл. Если удалил, восстановите и пришлите.

[АндрейПеркка]

Хорошо. Завтра сделаю

[safety]

Цитата

Утром приключилась беда-подхватил шифровальщика. Где, не знаю

Если это ваше устройство, проверьте что есть в почте за день-два до шифрования.

Если есть сообщение с темой "Акт сверки*" и с вложенным архивом, или со ссылкой на файл в сети, сохраните данное сообщение в файл в формате eml, заархивируйте файл с паролем virus, и добавьте архив в ваше сообщение.

+

Добавьте отчеты по обнаружению и сканированию из антивируса Касперского,

Если сканировали в KVRT,

найдите в корне диска папку KVRT*_DATA

добавьте отчеты  из папки reports в архиве, без пароля.

+

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKU\S-1-5-21-779627523-2344696004-2457371721-1000\Control Panel\Desktop\\Wallpaper -> C:\ProgramData\TeGgRfQk1.bmp
HKU\S-1-5-21-779627523-2344696004-2457371721-1000\...\Run: [YandexBrowserAutoLaunch_A2FC08C4D55031B93403C87CACFDA625] =>
HKU\S-1-5-21-779627523-2344696004-2457371721-1000\...\Run: [service_updater] => C:\Users\Валерия\AppData\Local\service_updater.exe (Нет файла)
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Валерия\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
Task: {07C4472A-939C-4CF3-AAA4-012E54D1799B} - \SwiftSearch Auto Updater 1.10.0.25 Pending Update -> Нет файла <==== ВНИМАНИЕ
Task: {5CEE1449-9FC4-43CE-B0E8-92DBBC2B7F02} - \SmartWeb Upgrade Trigger Task -> Нет файла <==== ВНИМАНИЕ
Task: {871D2FB6-6AC3-42C5-825D-8BBA5A20EAE7} - \Video Follow -> Нет файла <==== ВНИМАНИЕ
Task: {BBF28E2C-BD1F-42C0-94EA-88B22A8B5405} - \SwiftSearch Auto Updater 1.10.0.25 Core -> Нет файла <==== ВНИМАНИЕ
Task: C:\Windows\Tasks\StKyGx5935FzMG.job => C:\Users\\AppData\Roaming\StKyGx5935FzMG.exe <==== ВНИМАНИЕ
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\!C6535A501F8E981BFEB45E4726DF390DC653.js [2015-11-18] <==== ВНИМАНИЕ
FF ExtraCheck: C:\Program Files\mozilla firefox\C6535A501F8E981BFEB45E4726DF390DC653 [2015-11-18] <==== ВНИМАНИЕ
CHR HKLM\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM\...\Chrome\Extension: [pbcgcpeifkdjijdjambaakmhhpkfgoec]
CHR HKLM\...\Chrome\Extension: [pfhgbfnnjiafkhfdkmpiflachepdcjod]
S2 bykesute; отсутствует ImagePath
S2 myfejozi; отсутствует ImagePath
S2 vefybivy; отсутствует ImagePath
S2 WdsManPro; отсутствует ImagePath
S2 xowijysy; отсутствует ImagePath
S3 43C7E68; отсутствует ImagePath
S3 69221AC; \??\C:\Windows\TEMP\69221AC.sys [X] <==== ВНИМАНИЕ
S3 73AE7E6; отсутствует ImagePath
S3 78B2685; отсутствует ImagePath
S3 8301BFD; отсутствует ImagePath
S3 9190B54; отсутствует ImagePath
S3 99DADB1; отсутствует ImagePath
S3 9B493A7; отсутствует ImagePath
S3 D8757F9; отсутствует ImagePath
S3 DCBDA35; отсутствует ImagePath
S3 gdrv; отсутствует ImagePath
S3 GrdUsb; system32\DRIVERS\grdusb.sys [X]
2025-08-07 06:23 - 2025-08-07 06:23 - 006595336 _____ C:\Users\Валерия\AppData\Roaming\Акт сверки взаимных расчетов № 167 по состоянию на 1 августа 2025 года.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 9 августа пользователем safety

[АндрейПеркка]

Восстановил файл "Акт .....", там архив получился больше 5 мб, даже при максимальном сжатии. Разделил на 2 архива. Здесь 1я часть

Акт сверки взаимных расчетов № 167 по состоянию на 1 августа 2025 года.part1.rar

Здесь 2я часть

Акт сверки взаимных расчетов № 167 по состоянию на 1 августа 2025 года.part2.rar

[safety]

по файлу:

https://www.virustotal.com/gui/file/d32a410f784daaeee1d50c5d4c40a40e12cdb6383223d3e060391d6f73d7cd3c?nocache=1

 

Ждем выполнения скрипта очистки в FRST

Изменено 9 августа пользователем safety

[АндрейПеркка]

6 минут назад, safety сказал:

Ждем выполнения скрипта очистки в FRST

Можно еще раз этот момент расписать подробнее. А то как о для меня это не очень понятно. Хотелось бы не накосячить. Спасибо за понимание. И что с ссылкой этой делать?