вирус изменил кодировку документов на расширение dat

[aZ000]

вирус изменил кодировку документов на расширение dat

изменились офисные файлы, видео, текстовые

[thyrex]

Порядок оформления запроса о помощи

[aZ000]

Порядок оформления запроса о помощи

Вроде второй раз отправляю

Что то затупил я тут

CollectionLog-2017.12.01-02.17.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[aZ000]

Сделано

отчет addition и FRST.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKU\S-1-5-21-2934435447-128341016-2914805401-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cfnkkncgdbebjaccmeabnheldacpdnei] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kkebkofjplobmeenbgpjneghakhlioid] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKLM-x32\...\Chrome\Extension: [plfhlkbdlpfbkoclpfhbmcppophemdbm] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (News) - C:\Users\l-pro\AppData\Roaming\Opera Software\Opera Stable\Extensions\cnaibnehbbinoohhjafknihmlopdhhip [2017-05-04]
OPR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\l-pro\AppData\Roaming\Opera Software\Opera Stable\Extensions\nkooappjeoniffjmoplbagpngedkckpl [2015-12-22]
2017-02-01 11:33 - 2017-02-01 11:33 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\1530frth.dll
2017-01-21 11:36 - 2017-01-21 11:36 - 000007680 _____ () C:\Users\l-pro\AppData\Local\Temp\1rvyhye2.dll
2017-02-24 10:46 - 2017-02-24 10:46 - 000007680 _____ () C:\Users\l-pro\AppData\Local\Temp\3k451vd2.dll
2017-03-10 17:45 - 2017-03-10 17:45 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\4t4cftwt.dll
2015-11-09 18:46 - 2015-11-09 18:46 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\4Wd58L9ja4bl.exe
2016-03-30 19:37 - 2016-03-30 19:37 - 000010240 _____ () C:\Users\l-pro\AppData\Local\Temp\50o14wkd.dll
2016-12-25 11:26 - 2016-12-25 11:26 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\5pd4eh5w.dll
2016-02-12 01:17 - 2016-02-12 01:17 - 048920808 ____N (Mail.Ru) C:\Users\l-pro\AppData\Local\Temp\a7dtpx6251QU.exe
2017-01-05 10:27 - 2017-01-05 10:27 - 000011776 _____ () C:\Users\l-pro\AppData\Local\Temp\afdathnu.dll
2015-11-12 10:15 - 2017-02-24 21:53 - 052665336 _____ (Mail.Ru) C:\Users\l-pro\AppData\Local\Temp\amigo_setup.exe
2015-11-09 18:37 - 2015-11-09 18:38 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\B6NINUanNKnG.exe
2015-11-09 18:32 - 2015-11-09 18:32 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\EQm7ffwpRkWF.exe
2017-02-03 11:16 - 2017-02-03 11:19 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\f14scnqi.dll
2017-03-02 11:19 - 2017-03-02 11:20 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\fee122sh.dll
2017-02-07 11:50 - 2017-02-07 11:54 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\fmpn4bo5.dll
2016-03-27 15:02 - 2016-03-27 15:03 - 000010240 _____ () C:\Users\l-pro\AppData\Local\Temp\i200bosa.dll
2015-12-22 18:51 - 2015-12-22 18:52 - 048866536 _____ (Mail.Ru) C:\Users\l-pro\AppData\Local\Temp\int_mm_s.exe
2016-03-04 19:22 - 2016-03-04 19:22 - 000010240 _____ () C:\Users\l-pro\AppData\Local\Temp\jziqhkfs.dll
2016-12-28 09:46 - 2016-12-28 09:46 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\kdcyejme.dll
2016-01-10 13:29 - 2016-01-10 13:29 - 004495576 _____ () C:\Users\l-pro\AppData\Local\Temp\KKQp3QE4rU4h.exe
2015-11-09 18:33 - 2015-11-09 18:35 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\kq4INwgOXkgf.exe
2016-01-23 13:58 - 2014-10-27 21:11 - 001358336 _____ (The cURL library, http://curl.haxx.se/) C:\Users\l-pro\AppData\Local\Temp\libcurl.dll
2016-01-23 13:58 - 2015-01-14 14:55 - 000386560 _____ () C:\Users\l-pro\AppData\Local\Temp\log4cplusU.dll
2017-01-17 11:09 - 2017-01-17 11:09 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\lxcdh4f2.dll
2017-02-16 11:29 - 2017-02-16 11:29 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\n0weyu1c.dll
2017-11-30 13:26 - 2017-11-30 13:26 - 002885168 _____ () C:\Users\l-pro\AppData\Local\Temp\npp.7.5.1.Installer.exe
2015-11-09 18:43 - 2015-11-09 18:43 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\nXaOP01A3QqD.exe
2015-11-09 18:31 - 2015-11-09 18:32 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\oOlyr4MddzfG.exe
2016-07-20 23:43 - 2016-07-20 23:43 - 000010240 _____ () C:\Users\l-pro\AppData\Local\Temp\phla3fy0.dll
2015-11-09 18:19 - 2015-11-09 18:19 - 004562136 _____ () C:\Users\l-pro\AppData\Local\Temp\PTQGNw1ywn8N.exe
2015-11-09 18:38 - 2015-11-09 18:38 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\QEXB9kjkMPPD.exe
2017-01-08 13:51 - 2017-01-08 13:51 - 000003584 _____ () C:\Users\l-pro\AppData\Local\Temp\qndhvte-.dll
2016-12-30 09:03 - 2016-12-30 09:03 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\rb2ac2cq.dll
2015-11-09 18:26 - 2015-11-09 18:26 - 004562136 _____ () C:\Users\l-pro\AppData\Local\Temp\slRPktLDBHQb.exe
2015-12-22 18:52 - 2015-12-22 18:53 - 004495576 _____ () C:\Users\l-pro\AppData\Local\Temp\spt_mm_s.exe
2016-04-15 16:34 - 2016-04-15 16:34 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\tohkfh4z.dll
2013-06-18 00:56 - 2013-06-18 00:56 - 016024352 _____ () C:\Users\l-pro\AppData\Local\Temp\topazfusion2_setup.exe
2016-03-04 14:43 - 2016-03-04 14:43 - 000010240 _____ () C:\Users\l-pro\AppData\Local\Temp\ukuwk25w.dll
2015-11-09 18:40 - 2015-11-09 18:40 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\USYEIVjAzSpc.exe
2015-11-09 18:35 - 2015-11-09 18:35 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\uuZ0DN4ina2n.exe
2016-02-12 01:13 - 2016-02-12 01:13 - 004868824 ____N () C:\Users\l-pro\AppData\Local\Temp\WiS1U39Xq7om.exe
2016-03-27 21:10 - 2016-03-27 21:10 - 000010240 _____ () C:\Users\l-pro\AppData\Local\Temp\woohwrrq.dll
2017-03-26 08:39 - 2017-03-26 08:42 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\wotgmjb4.dll
2017-01-29 11:41 - 2017-01-29 11:41 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\x2dkfo35.dll
2015-11-09 18:20 - 2015-11-09 18:21 - 044835384 _____ (LLC Mail.Ru) C:\Users\l-pro\AppData\Local\Temp\XCgp86mVzPGT.exe
2015-11-09 18:45 - 2015-11-09 18:46 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\XDreXHGPOX4j.exe
2017-01-01 16:25 - 2017-01-01 16:25 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\xuh1l3ff.dll
2015-11-09 18:40 - 2015-11-09 18:40 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\XZqARQ3QhCxY.exe
2015-11-09 18:43 - 2015-11-09 18:43 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\Y2WEX56NZ66U.exe
2016-10-18 13:57 - 2016-10-18 13:57 - 000181544 _____ () C:\Users\l-pro\AppData\Local\Temp\yandex-downloader.exe
C:\Users\l-pro\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
C:\Users\l-pro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (4).lnk
C:\Users\l-pro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (5).lnk
Task: {6FA6340B-6D18-4DF1-8074-B55BEDA0446C} - \PhoenixBrowser Updater -> No File <==== ATTENTION
Task: {768E4BD1-75EF-46DB-8DAF-CD58B614964E} - \Microsoft\Windows\Multimedia\ReportSender -> No File <==== ATTENTION
Task: {AD18E69E-AE87-40C0-8A3F-CB90F3ADD2DF} - \KRB Updater Utility -> No File <==== ATTENTION
Task: {E2715480-ECC0-4D78-9FFA-2A084D517CA8} - System32\Tasks\Microsoft\Windows\A29B68FE9-BF07-4D5F-AC26-DFE11A4C0A8F => C:\Program Files (x86)\Common Files\3A907BA3-97F5-468C-8CA9-3CA563C31ADA\29B68FE9-BF07-4D5F-AC26-DFE11A4C0A8F.exe <==== ATTENTION
Task: {FA6046E2-05F7-4418-BE6C-1410D6562694} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[aZ000]

файл

Fixlog.txt

[thyrex]

Тут, похоже, другая разновидность шифратора. Пока неясно, как генерируется ключ

[aZ000]

Вчера добавил в архив несколько зашифрованных файлов, среди которых один екселевский. Когда добавляешь в архив, то сразу показывается двойное расширение (например тест.xlsx.dat). Так вот, я удалил это расширение .dat и эконка сразу поменялась на екселевскую. Я запустил этот файл и он мне выдал ошибку что не может открыть, а через несколько секунд файл загрузился и сбоку написано "Excel восстановил ваш документ". При повторной попытке открыть уже не восстанавливается. Странно как то. Я тут на сайте Касперского в разделе "Утилиты " нашел две программы PhotoRec и StopGpcode. При помощи PhotoRec я сохранил в папку восстановленные документы , а вот StopGpcode выдает ошибку. Вы не знаете,  программа StopGpcode работает еще?     

[thyrex]

Неужели так трудно набраться терпения и какое-то время обождать? Возможно, не все потеряно, а Вы решили окончательно попрощаться с информацией.

[aZ000]

Наберусь терпения и буду ждать

[thyrex]

Прикрепите в архиве к следующему сообщению несколько зашифрованных файлов

[aZ000]

сделано

зашифрованные файлы.rar

[thyrex]

Вечером выдам расшифровку

[aZ000]

Хорошо. Буду ждать