Перейти к содержанию
Новогодняя встреча Kaspersky Club. Записывайся скорее!

На синем экране ноутбука следующая надпись: Ваши файлы украдены! Оригинальные файлы остались у вас, но были зашифрованы...

Илья2007
 Поделиться

Рекомендуемые сообщения

Илья2007

Илья2007

Опубликовано
Опубликовано

Сегодня, в процессе работы, появилось такое сообщение на экране ноутбука. Ничего особенного не делал, файлы, которые открывал из электронки, были связаны с работой (PDF файлы). Подтормаживать ноутбук стал еще пару дней назад, мне это показалось странным. Сегодня, перед появлением этого экрана, несколько раз появлялись маленькие окна с сообщениями об ошибках. Помогите, пожалуйста, решить данную проблему, ну или укажите путь, в каком направлении надо действовать.

IMG_20251031_153232.jpg

safety

safety

Опубликовано
Опубликовано (изменено)

Добавьте несколько зашифрованных файлов + записку о выкупе, в архиве, без пароля.

+

Добавьте логи FRST из зашифрованной системы.

 

Цитата

Ничего особенного не делал, файлы, которые открывал из электронки, были связаны с работой (PDF файлы).

Если было электронное сообщение в почте, после открытия которого файлы были зашифрованы,

сохраните данное сообщение в формате EML, файл заархивируйте с паролем virus, архив добавьте в ваше сообщение.

Следует добавить, что шифрование pay2key происходит не сразу после открытия вредоносного вложения, а через некоторое время.

Изменено пользователем safety
Илья2007

Илья2007

Опубликовано
  • Автор
Опубликовано

Скорее всего данное электронное сообщение безобидно с точки зрения наличия в нем вируса-шифровальщика. Если вы говорите, что шифрование происходит не сразу, как я уже говорил ранее, я заметил странности в работе ноутбука за пару дней до этой ситуации. Компьютер временами подтормаживал и появлялись маленькие окна с ошибками. К сожалению, все эти вещи я игнорировал

Addition.txt FRST.txt Файлы+записка.rar

 

Еще сегодня при включении ноутбука появились окна с  следующим сообщением

IMG_20251101_150307_resized_20251101_040224198.rar

safety

safety

Опубликовано
Опубликовано (изменено)

Если систему сканировали KVRT, Cureit или другим антивирусом, добавьте логи сканирования, в архиве,без пароля.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\...\Run: [browser.exe] => C:\temp\HowToRestoreFiles.txt [4422 2025-10-31] () [Файл не подписан] <==== ВНИМАНИЕ
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] All your files have been stolen! You still have the original files, but they have been encrypted.
IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\EOSNOTIFY.EXE: [Debugger] *
IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\InstallAgent.exe: [Debugger] *
IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\MusNotification.exe: [Debugger] *
IFEO\MUSNOTIFICATIONUX.EXE: [Debugger] *
IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\remsh.exe: [Debugger] *
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SIHClient.exe: [Debugger] *
IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\TeamViewer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\TeamViewer_Service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tv_w32.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tv_x64.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\UpdateAssistant.exe: [Debugger] *
IFEO\UPFC.EXE: [Debugger] *
IFEO\UsoClient.exe: [Debugger] *
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\WaaSMedic.exe: [Debugger] *
IFEO\WaasMedicAgent.exe: [Debugger] *
IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\Windows10Upgrade.exe: [Debugger] *
IFEO\WINDOWS10UPGRADERAPP.EXE: [Debugger] *
IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Exception.vbs [2025-10-27] () [Файл не подписан]
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IsCompleted.vbs [2025-10-29] () [Файл не подписан]
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Item1.vbs [2025-10-27] () [Файл не подписан]
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Method.vbs [2025-10-27] () [Файл не подписан]
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Target.vbs [2025-10-30] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2490272230-221041594-1239164930-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
2025-10-31 13:58 - 2025-10-31 14:55 - 000000000 ____D C:\temp
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Скрипт в FRST выполнили?

 

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

 

Илья2007

Илья2007

Опубликовано
  • Автор
Опубликовано

Скрипт пока не выполнил, необходимы пояснения...

правильно понимаю, мне нужно скопировать информацию из предпоследнего вашего сообщения (все строки от слова start до слова end) в буфер обмена, а затем вставить в FRST? Не получается запустить FRST на ноутбуке. Пишет, что невозможно запустить данное приложение на вашем ПК. Запускаю из папки Загрузки

safety

safety

Опубликовано
Опубликовано (изменено)

Просто копируйте строки (от Start:: до End::  ) в буфер обмена, FRST загрузит скрипт из буфера.

Пробуйте переименовать FRST в любое другое имя, иди сделать запуск из корневой папки, например C:\TEMP_FRST

Изменено пользователем safety
Илья2007

Илья2007

Опубликовано
  • Автор
Опубликовано

Пробовал запустить и так и так (менял несколько раз имена, приложение не запускалось. Скопировал файл из загрузок, вставлял его в диск С:\ FRST, тоже не вышло

IMG_20251105_172359.rar

Sandor

Sandor

Опубликовано
Опубликовано

@Илья2007 - а собирали логи FRST.txt и Addition.txt вы на этом же компьютере или на другом?

Илья2007

Илья2007

Опубликовано
  • Автор
Опубликовано

Сейчас с вами переписываюсь с другого компа. Проблема на ноутбуке. Но были сообщения, которые отправлял с поврежденного ноутбука.

Логи FRST.txt и Addition.txt собрал. Они в сообщении, которое отправил вам в субботу.

 

Sandor

Sandor

Опубликовано
Опубликовано

Я к тому спрашиваю, что при получении этих логов вы же каким-то образом запускали файл FRST.exe (или FRST64.exe).

Илья2007

Илья2007

Опубликовано
  • Автор
Опубликовано

Да, я тоже удивлен. Самое интересное он тогда запускался, а сейчас никак не хочет. И я заметил, что в корневой папке появилась новая папка под названием FRST-OlderVersion. 

И похоже на то, что FRST не запускается из-за того, что текущая версия якобы устарела

 

Может удалить FRST с ноута и заново установить?

safety

safety

Опубликовано
Опубликовано (изменено)

Возможно, что скачивание автоматическое новой версии не происходит. 

Может удалить FRST с ноута и заново установить?

Пробуйте и так сделать.

Изменено пользователем safety
Илья2007

Илья2007

Опубликовано
  • Автор
Опубликовано (изменено)

Удалил FRST, при попытке установить заново открывается окно установки. Поначалу вроде идет загрузка, но потом появляется окно с информацией о невозможности загрузки данной программы.

Еще хотел сообщить, что в меню Пуск пропала возможность Выключить компьютер. Есть только кнопка Выход, проваливаясь в нее появляются два варианта: Сменить пользователя и Блокировка

 

Поэтому выключаю ноутбук физически нажимая кнопку включения/выключения

Изменено пользователем Илья2007
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Gighall
      Помощь с шифровальщиком .09yum1_p2k
      Автор Gighall
      Здравствуйте, у нас файлы зашифрованы в системе, с расширением "*09yum1_p2k", файлы прикрепляем, что требуется сделать в нашем случае? Прочитав форум, попытался вставить скрпит в программу FRST по очистке системы, результата не дало, понимаю что в правилах указано этого лучше не делать. Компьютер не можем ни перезагрузить, ни воспользоваться поиском, при попытке перезагрузки пишет - "Нет доступных вариантов управления электропитанием" . Единственное что при открытии зашифрованных файлов, теперь пишет "Не удаётся найти файл С:\temp\HowToRestoreFiles.txt. Вы хотите создать новый файл с таким именем?" Выкуп никакой не делали, есть ли вероятность вернуть файлы?
      HowToRestoreFiles.txt4.32 kB · 1 загрузка л6.jpg.zip716.07 kB · 1 загрузка
    • Comrade Steel
      Шифровальщик с расширением .ke2kbh3_p2k
      Автор Comrade Steel
      На почту поступило письмо, во вложении архив с файлом .bat
      После запуска документы (docx, xlsx и т.п., при этом, например, .rtf остались не задетыми), а также файлы изображений исчезли/заменены файлами в формате ".ke2kbh3_p2k", которые открываются как текстовый документ с информацией о краже данных и информацией для оплаты.
      Зашифровано большинство документов на внутреннем жестком диске, а также одна папка на сервере (вероятнее всего та, в которой велась работа).
      Проведено поверхностное сканирование при помощи KVRT, найден HEUR:Trojan.Multi.Ifeodeb.a - во избежание дальнейшего вмешательства пропущен.
      Судя по всему - при первом запуске вируса он отключил антивирус, а также закрыл заметную часть запущенных программ.
      virus.7z Addition.txt FRST.txt пример зашифрованных файлов + текстовка требований.7z
    • alex789z
      Помощь с шифровальщиком .09yum1_p2k
      Автор alex789z
      Добрый вечер! Поймали шифровальщик с окончанием .09yum1_p2k. Заплатили выкуп, прислали дешифратор, запустили он отработал, но случился какой-то сбой и расшифровалась только часть файлов, а именно то что было на флешке, а то что было на диске С так и осталось. Прикладываю сам дешифратор и файлы с диска С. Пожалуйста помогите с данной проблемой. 
      договора 2023г.zip договора с полигоном 2016.zip decryptor.zip
    • Андрей St
      Помогите пожалуйста. Все ваши файлы украдены! Оригинальные файлы остались у вас, но были зашифрованы.
      Автор Андрей St
      Здравствуйте!
       
      Помогите пожалуйста расшифровать файлы, сотрудник поймал вирус на рабочем компьютере, ничего не работает, на пк две винды, приходится заходить с рабочей, интернет отключен, каким то образом вирус снес еще и электронный почтовый ящик, пишет что логина не существует(((
       
      Надеюсь на вашу помощь. Спасибо.
       
       


      Virus.rar Virus текст.rar Addition.txt FRST.txt
    • Иван_82
      behavior win32.y30x_p2k
      Автор Иван_82
      Добрый вечер случилось после открытия файла с почты все файлы теперь с расширением .y30x_p2k
      Addition.txt FRST.txt файлы шифр.rar
×
×
  • Создать...