Перейти к содержанию

вирус изменил кодировку документов на расширение dat

aZ000
 Поделиться

Рекомендуемые сообщения

  • Ответов 80
  • Создана
  • Последний ответ

Топ авторов темы

  • aZ000

    41

  • regist

    22

  • thyrex

    15

  • Sandor

    3

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

thyrex
thyrex

Как вариант для копирования информации - загрузка с какого-либо LiveCD

Sandor
Sandor

Попробуйте так: Войдите в среду восстановления. В меню F8 - выберите "Устранение неполадок компьютера" и загрузитесь в среду восстановления. Из параметров восстановления выберите командную строк

thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKU\S-1-5-21-2934435447-128341016-2914805401-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cfnkkncgdbebjaccmeabnheldacpdnei] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kkebkofjplobmeenbgpjneghakhlioid] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKLM-x32\...\Chrome\Extension: [plfhlkbdlpfbkoclpfhbmcppophemdbm] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (News) - C:\Users\l-pro\AppData\Roaming\Opera Software\Opera Stable\Extensions\cnaibnehbbinoohhjafknihmlopdhhip [2017-05-04]
OPR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\l-pro\AppData\Roaming\Opera Software\Opera Stable\Extensions\nkooappjeoniffjmoplbagpngedkckpl [2015-12-22]
2017-02-01 11:33 - 2017-02-01 11:33 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\1530frth.dll
2017-01-21 11:36 - 2017-01-21 11:36 - 000007680 _____ () C:\Users\l-pro\AppData\Local\Temp\1rvyhye2.dll
2017-02-24 10:46 - 2017-02-24 10:46 - 000007680 _____ () C:\Users\l-pro\AppData\Local\Temp\3k451vd2.dll
2017-03-10 17:45 - 2017-03-10 17:45 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\4t4cftwt.dll
2015-11-09 18:46 - 2015-11-09 18:46 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\4Wd58L9ja4bl.exe
2016-03-30 19:37 - 2016-03-30 19:37 - 000010240 _____ () C:\Users\l-pro\AppData\Local\Temp\50o14wkd.dll
2016-12-25 11:26 - 2016-12-25 11:26 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\5pd4eh5w.dll
2016-02-12 01:17 - 2016-02-12 01:17 - 048920808 ____N (Mail.Ru) C:\Users\l-pro\AppData\Local\Temp\a7dtpx6251QU.exe
2017-01-05 10:27 - 2017-01-05 10:27 - 000011776 _____ () C:\Users\l-pro\AppData\Local\Temp\afdathnu.dll
2015-11-12 10:15 - 2017-02-24 21:53 - 052665336 _____ (Mail.Ru) C:\Users\l-pro\AppData\Local\Temp\amigo_setup.exe
2015-11-09 18:37 - 2015-11-09 18:38 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\B6NINUanNKnG.exe
2015-11-09 18:32 - 2015-11-09 18:32 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\EQm7ffwpRkWF.exe
2017-02-03 11:16 - 2017-02-03 11:19 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\f14scnqi.dll
2017-03-02 11:19 - 2017-03-02 11:20 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\fee122sh.dll
2017-02-07 11:50 - 2017-02-07 11:54 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\fmpn4bo5.dll
2016-03-27 15:02 - 2016-03-27 15:03 - 000010240 _____ () C:\Users\l-pro\AppData\Local\Temp\i200bosa.dll
2015-12-22 18:51 - 2015-12-22 18:52 - 048866536 _____ (Mail.Ru) C:\Users\l-pro\AppData\Local\Temp\int_mm_s.exe
2016-03-04 19:22 - 2016-03-04 19:22 - 000010240 _____ () C:\Users\l-pro\AppData\Local\Temp\jziqhkfs.dll
2016-12-28 09:46 - 2016-12-28 09:46 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\kdcyejme.dll
2016-01-10 13:29 - 2016-01-10 13:29 - 004495576 _____ () C:\Users\l-pro\AppData\Local\Temp\KKQp3QE4rU4h.exe
2015-11-09 18:33 - 2015-11-09 18:35 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\kq4INwgOXkgf.exe
2016-01-23 13:58 - 2014-10-27 21:11 - 001358336 _____ (The cURL library, http://curl.haxx.se/) C:\Users\l-pro\AppData\Local\Temp\libcurl.dll
2016-01-23 13:58 - 2015-01-14 14:55 - 000386560 _____ () C:\Users\l-pro\AppData\Local\Temp\log4cplusU.dll
2017-01-17 11:09 - 2017-01-17 11:09 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\lxcdh4f2.dll
2017-02-16 11:29 - 2017-02-16 11:29 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\n0weyu1c.dll
2017-11-30 13:26 - 2017-11-30 13:26 - 002885168 _____ () C:\Users\l-pro\AppData\Local\Temp\npp.7.5.1.Installer.exe
2015-11-09 18:43 - 2015-11-09 18:43 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\nXaOP01A3QqD.exe
2015-11-09 18:31 - 2015-11-09 18:32 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\oOlyr4MddzfG.exe
2016-07-20 23:43 - 2016-07-20 23:43 - 000010240 _____ () C:\Users\l-pro\AppData\Local\Temp\phla3fy0.dll
2015-11-09 18:19 - 2015-11-09 18:19 - 004562136 _____ () C:\Users\l-pro\AppData\Local\Temp\PTQGNw1ywn8N.exe
2015-11-09 18:38 - 2015-11-09 18:38 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\QEXB9kjkMPPD.exe
2017-01-08 13:51 - 2017-01-08 13:51 - 000003584 _____ () C:\Users\l-pro\AppData\Local\Temp\qndhvte-.dll
2016-12-30 09:03 - 2016-12-30 09:03 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\rb2ac2cq.dll
2015-11-09 18:26 - 2015-11-09 18:26 - 004562136 _____ () C:\Users\l-pro\AppData\Local\Temp\slRPktLDBHQb.exe
2015-12-22 18:52 - 2015-12-22 18:53 - 004495576 _____ () C:\Users\l-pro\AppData\Local\Temp\spt_mm_s.exe
2016-04-15 16:34 - 2016-04-15 16:34 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\tohkfh4z.dll
2013-06-18 00:56 - 2013-06-18 00:56 - 016024352 _____ () C:\Users\l-pro\AppData\Local\Temp\topazfusion2_setup.exe
2016-03-04 14:43 - 2016-03-04 14:43 - 000010240 _____ () C:\Users\l-pro\AppData\Local\Temp\ukuwk25w.dll
2015-11-09 18:40 - 2015-11-09 18:40 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\USYEIVjAzSpc.exe
2015-11-09 18:35 - 2015-11-09 18:35 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\uuZ0DN4ina2n.exe
2016-02-12 01:13 - 2016-02-12 01:13 - 004868824 ____N () C:\Users\l-pro\AppData\Local\Temp\WiS1U39Xq7om.exe
2016-03-27 21:10 - 2016-03-27 21:10 - 000010240 _____ () C:\Users\l-pro\AppData\Local\Temp\woohwrrq.dll
2017-03-26 08:39 - 2017-03-26 08:42 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\wotgmjb4.dll
2017-01-29 11:41 - 2017-01-29 11:41 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\x2dkfo35.dll
2015-11-09 18:20 - 2015-11-09 18:21 - 044835384 _____ (LLC Mail.Ru) C:\Users\l-pro\AppData\Local\Temp\XCgp86mVzPGT.exe
2015-11-09 18:45 - 2015-11-09 18:46 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\XDreXHGPOX4j.exe
2017-01-01 16:25 - 2017-01-01 16:25 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\xuh1l3ff.dll
2015-11-09 18:40 - 2015-11-09 18:40 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\XZqARQ3QhCxY.exe
2015-11-09 18:43 - 2015-11-09 18:43 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\Y2WEX56NZ66U.exe
2016-10-18 13:57 - 2016-10-18 13:57 - 000181544 _____ () C:\Users\l-pro\AppData\Local\Temp\yandex-downloader.exe
C:\Users\l-pro\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
C:\Users\l-pro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (4).lnk
C:\Users\l-pro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (5).lnk
Task: {6FA6340B-6D18-4DF1-8074-B55BEDA0446C} - \PhoenixBrowser Updater -> No File <==== ATTENTION
Task: {768E4BD1-75EF-46DB-8DAF-CD58B614964E} - \Microsoft\Windows\Multimedia\ReportSender -> No File <==== ATTENTION
Task: {AD18E69E-AE87-40C0-8A3F-CB90F3ADD2DF} - \KRB Updater Utility -> No File <==== ATTENTION
Task: {E2715480-ECC0-4D78-9FFA-2A084D517CA8} - System32\Tasks\Microsoft\Windows\A29B68FE9-BF07-4D5F-AC26-DFE11A4C0A8F => C:\Program Files (x86)\Common Files\3A907BA3-97F5-468C-8CA9-3CA563C31ADA\29B68FE9-BF07-4D5F-AC26-DFE11A4C0A8F.exe <==== ATTENTION
Task: {FA6046E2-05F7-4418-BE6C-1410D6562694} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
aZ000 Постоялец

aZ000

Опубликовано
  • Автор
Опубликовано

Вчера добавил в архив несколько зашифрованных файлов, среди которых один екселевский. Когда добавляешь в архив, то сразу показывается двойное расширение (например тест.xlsx.dat). Так вот, я удалил это расширение .dat и эконка сразу поменялась на екселевскую. Я запустил этот файл и он мне выдал ошибку что не может открыть, а через несколько секунд файл загрузился и сбоку написано "Excel восстановил ваш документ". При повторной попытке открыть уже не восстанавливается. Странно как то. Я тут на сайте Касперского в разделе "Утилиты " нашел две программы PhotoRec и StopGpcode. При помощи PhotoRec я сохранил в папку восстановленные документы , а вот StopGpcode выдает ошибку. Вы не знаете,  программа StopGpcode работает еще?     

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Неужели так трудно набраться терпения и какое-то время обождать? Возможно, не все потеряно, а Вы решили окончательно попрощаться с информацией.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Елена9999999
      Вирус-шифровальщик. Возможно ли восстановить документы?
      Автор Елена9999999
      Здравствуйте, 
      На компьютер попал вирус. Теперь все файлы с расширением gxGxvJCWI. Везде требования об их выкупе. Можно ли как-то восстановить файлы? 
    • sanka
      Ваши документы, базы данных и другие файлы были зашифрованы.
      Автор sanka
      Добрый день!
       
      Просьба помочь с расшифровкой.
      Лог FRST, записка вымогателя и примеры зашифрованных файлов во вложении
      FRST.zip примеры и записка вымогателя.zip
    • Kataomi_3232
      [РЕШЕНО] Неизвестное расширение в Google Chrome.
      Автор Kataomi_3232
      Здравствуйте. После установки игры с неизвестного источника моим родственником, браузер Google Chrome начал 2-3 раза в день вылетать, при попытке зайти в настройки и например удалить историю он стал выдавать - некоторые настройки были изменены сторонним приложением, браузер вернул их по умолчанию. Еще что я заметил, это то, что окошко где находятся расширения после всех этих манипуляций всегда самостоятельно переходили в режим разработчика. Но буквально 30 минут назад на моих глаза из ни откуда появилось расширение torrent scanner, оказывается оно все это время существовало и во встроенном браузере от windows (microsoft edge) Благодаря беседе с одним модератором на форуме касперского, он сообщил мне что стоит обратиться сюда и что расширение установилось локально.
      CollectionLog-2025.05.06-22.58.zip
    • Hotei
      Бесконечно появляется расширение в яндексе.
      Автор Hotei
      Появляется после удаления расширение в бразуре "T-cahback", которое я никогда не скачивал. Касперский при проверке ничего не нашёл.
      При этом браузер может раз в 3-4 часа вылететь, иногда с какой-нибудь неизвестной ошибкой. 
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...