Перейти к содержанию

вирус изменил кодировку документов на расширение dat

aZ000
 Share

Рекомендуемые сообщения

  • Ответов 80
  • Created
  • Последний ответ

Top Posters In This Topic

  • aZ000

    41

  • regist

    22

  • thyrex

    15

  • Sandor

    3

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

thyrex
thyrex

Как вариант для копирования информации - загрузка с какого-либо LiveCD

Sandor
Sandor

Попробуйте так: Войдите в среду восстановления. В меню F8 - выберите "Устранение неполадок компьютера" и загрузитесь в среду восстановления. Из параметров восстановления выберите командную строк

thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKU\S-1-5-21-2934435447-128341016-2914805401-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cfnkkncgdbebjaccmeabnheldacpdnei] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kkebkofjplobmeenbgpjneghakhlioid] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKLM-x32\...\Chrome\Extension: [plfhlkbdlpfbkoclpfhbmcppophemdbm] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (News) - C:\Users\l-pro\AppData\Roaming\Opera Software\Opera Stable\Extensions\cnaibnehbbinoohhjafknihmlopdhhip [2017-05-04]
OPR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\l-pro\AppData\Roaming\Opera Software\Opera Stable\Extensions\nkooappjeoniffjmoplbagpngedkckpl [2015-12-22]
2017-02-01 11:33 - 2017-02-01 11:33 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\1530frth.dll
2017-01-21 11:36 - 2017-01-21 11:36 - 000007680 _____ () C:\Users\l-pro\AppData\Local\Temp\1rvyhye2.dll
2017-02-24 10:46 - 2017-02-24 10:46 - 000007680 _____ () C:\Users\l-pro\AppData\Local\Temp\3k451vd2.dll
2017-03-10 17:45 - 2017-03-10 17:45 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\4t4cftwt.dll
2015-11-09 18:46 - 2015-11-09 18:46 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\4Wd58L9ja4bl.exe
2016-03-30 19:37 - 2016-03-30 19:37 - 000010240 _____ () C:\Users\l-pro\AppData\Local\Temp\50o14wkd.dll
2016-12-25 11:26 - 2016-12-25 11:26 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\5pd4eh5w.dll
2016-02-12 01:17 - 2016-02-12 01:17 - 048920808 ____N (Mail.Ru) C:\Users\l-pro\AppData\Local\Temp\a7dtpx6251QU.exe
2017-01-05 10:27 - 2017-01-05 10:27 - 000011776 _____ () C:\Users\l-pro\AppData\Local\Temp\afdathnu.dll
2015-11-12 10:15 - 2017-02-24 21:53 - 052665336 _____ (Mail.Ru) C:\Users\l-pro\AppData\Local\Temp\amigo_setup.exe
2015-11-09 18:37 - 2015-11-09 18:38 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\B6NINUanNKnG.exe
2015-11-09 18:32 - 2015-11-09 18:32 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\EQm7ffwpRkWF.exe
2017-02-03 11:16 - 2017-02-03 11:19 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\f14scnqi.dll
2017-03-02 11:19 - 2017-03-02 11:20 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\fee122sh.dll
2017-02-07 11:50 - 2017-02-07 11:54 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\fmpn4bo5.dll
2016-03-27 15:02 - 2016-03-27 15:03 - 000010240 _____ () C:\Users\l-pro\AppData\Local\Temp\i200bosa.dll
2015-12-22 18:51 - 2015-12-22 18:52 - 048866536 _____ (Mail.Ru) C:\Users\l-pro\AppData\Local\Temp\int_mm_s.exe
2016-03-04 19:22 - 2016-03-04 19:22 - 000010240 _____ () C:\Users\l-pro\AppData\Local\Temp\jziqhkfs.dll
2016-12-28 09:46 - 2016-12-28 09:46 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\kdcyejme.dll
2016-01-10 13:29 - 2016-01-10 13:29 - 004495576 _____ () C:\Users\l-pro\AppData\Local\Temp\KKQp3QE4rU4h.exe
2015-11-09 18:33 - 2015-11-09 18:35 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\kq4INwgOXkgf.exe
2016-01-23 13:58 - 2014-10-27 21:11 - 001358336 _____ (The cURL library, http://curl.haxx.se/) C:\Users\l-pro\AppData\Local\Temp\libcurl.dll
2016-01-23 13:58 - 2015-01-14 14:55 - 000386560 _____ () C:\Users\l-pro\AppData\Local\Temp\log4cplusU.dll
2017-01-17 11:09 - 2017-01-17 11:09 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\lxcdh4f2.dll
2017-02-16 11:29 - 2017-02-16 11:29 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\n0weyu1c.dll
2017-11-30 13:26 - 2017-11-30 13:26 - 002885168 _____ () C:\Users\l-pro\AppData\Local\Temp\npp.7.5.1.Installer.exe
2015-11-09 18:43 - 2015-11-09 18:43 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\nXaOP01A3QqD.exe
2015-11-09 18:31 - 2015-11-09 18:32 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\oOlyr4MddzfG.exe
2016-07-20 23:43 - 2016-07-20 23:43 - 000010240 _____ () C:\Users\l-pro\AppData\Local\Temp\phla3fy0.dll
2015-11-09 18:19 - 2015-11-09 18:19 - 004562136 _____ () C:\Users\l-pro\AppData\Local\Temp\PTQGNw1ywn8N.exe
2015-11-09 18:38 - 2015-11-09 18:38 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\QEXB9kjkMPPD.exe
2017-01-08 13:51 - 2017-01-08 13:51 - 000003584 _____ () C:\Users\l-pro\AppData\Local\Temp\qndhvte-.dll
2016-12-30 09:03 - 2016-12-30 09:03 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\rb2ac2cq.dll
2015-11-09 18:26 - 2015-11-09 18:26 - 004562136 _____ () C:\Users\l-pro\AppData\Local\Temp\slRPktLDBHQb.exe
2015-12-22 18:52 - 2015-12-22 18:53 - 004495576 _____ () C:\Users\l-pro\AppData\Local\Temp\spt_mm_s.exe
2016-04-15 16:34 - 2016-04-15 16:34 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\tohkfh4z.dll
2013-06-18 00:56 - 2013-06-18 00:56 - 016024352 _____ () C:\Users\l-pro\AppData\Local\Temp\topazfusion2_setup.exe
2016-03-04 14:43 - 2016-03-04 14:43 - 000010240 _____ () C:\Users\l-pro\AppData\Local\Temp\ukuwk25w.dll
2015-11-09 18:40 - 2015-11-09 18:40 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\USYEIVjAzSpc.exe
2015-11-09 18:35 - 2015-11-09 18:35 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\uuZ0DN4ina2n.exe
2016-02-12 01:13 - 2016-02-12 01:13 - 004868824 ____N () C:\Users\l-pro\AppData\Local\Temp\WiS1U39Xq7om.exe
2016-03-27 21:10 - 2016-03-27 21:10 - 000010240 _____ () C:\Users\l-pro\AppData\Local\Temp\woohwrrq.dll
2017-03-26 08:39 - 2017-03-26 08:42 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\wotgmjb4.dll
2017-01-29 11:41 - 2017-01-29 11:41 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\x2dkfo35.dll
2015-11-09 18:20 - 2015-11-09 18:21 - 044835384 _____ (LLC Mail.Ru) C:\Users\l-pro\AppData\Local\Temp\XCgp86mVzPGT.exe
2015-11-09 18:45 - 2015-11-09 18:46 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\XDreXHGPOX4j.exe
2017-01-01 16:25 - 2017-01-01 16:25 - 000008192 _____ () C:\Users\l-pro\AppData\Local\Temp\xuh1l3ff.dll
2015-11-09 18:40 - 2015-11-09 18:40 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\XZqARQ3QhCxY.exe
2015-11-09 18:43 - 2015-11-09 18:43 - 000000000 _____ () C:\Users\l-pro\AppData\Local\Temp\Y2WEX56NZ66U.exe
2016-10-18 13:57 - 2016-10-18 13:57 - 000181544 _____ () C:\Users\l-pro\AppData\Local\Temp\yandex-downloader.exe
C:\Users\l-pro\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
C:\Users\l-pro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (4).lnk
C:\Users\l-pro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт (5).lnk
Task: {6FA6340B-6D18-4DF1-8074-B55BEDA0446C} - \PhoenixBrowser Updater -> No File <==== ATTENTION
Task: {768E4BD1-75EF-46DB-8DAF-CD58B614964E} - \Microsoft\Windows\Multimedia\ReportSender -> No File <==== ATTENTION
Task: {AD18E69E-AE87-40C0-8A3F-CB90F3ADD2DF} - \KRB Updater Utility -> No File <==== ATTENTION
Task: {E2715480-ECC0-4D78-9FFA-2A084D517CA8} - System32\Tasks\Microsoft\Windows\A29B68FE9-BF07-4D5F-AC26-DFE11A4C0A8F => C:\Program Files (x86)\Common Files\3A907BA3-97F5-468C-8CA9-3CA563C31ADA\29B68FE9-BF07-4D5F-AC26-DFE11A4C0A8F.exe <==== ATTENTION
Task: {FA6046E2-05F7-4418-BE6C-1410D6562694} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
aZ000 Постоялец

aZ000

Опубликовано
  • Автор
Опубликовано

Вчера добавил в архив несколько зашифрованных файлов, среди которых один екселевский. Когда добавляешь в архив, то сразу показывается двойное расширение (например тест.xlsx.dat). Так вот, я удалил это расширение .dat и эконка сразу поменялась на екселевскую. Я запустил этот файл и он мне выдал ошибку что не может открыть, а через несколько секунд файл загрузился и сбоку написано "Excel восстановил ваш документ". При повторной попытке открыть уже не восстанавливается. Странно как то. Я тут на сайте Касперского в разделе "Утилиты " нашел две программы PhotoRec и StopGpcode. При помощи PhotoRec я сохранил в папку восстановленные документы , а вот StopGpcode выдает ошибку. Вы не знаете,  программа StopGpcode работает еще?     

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Неужели так трудно набраться терпения и какое-то время обождать? Возможно, не все потеряно, а Вы решили окончательно попрощаться с информацией.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Елена9999999
      Вирус-шифровальщик. Возможно ли восстановить документы?
      От Елена9999999
      Здравствуйте, 
      На компьютер попал вирус. Теперь все файлы с расширением gxGxvJCWI. Везде требования об их выкупе. Можно ли как-то восстановить файлы? 
    • Kemel
      Вирус зашифровал файлы с расширением .Frank
      От Kemel
      Your ID: EBF7F3B5F6C0398D
      If you want your files back, contact us at the email addresses shown below.
      Frank1850@mailum.com
      Frank1850@firemail.de
      ((*** Your ID must be included in the subject line of your email or we WILL NOT answer ***))
      This notification shows that your system has been hacked.
      Your files have not been damaged or infected by viruses; they are just locked with the Frank suffix.
      We saved your data on our servers,
      and if you don't contact us, we'll extract your sensitive information and put it on the darknet, where anybody can view it.
      We have no political goals and are not trying to harm your reputation.
      This is our business. Money and our reputation are the only things that matter to us.
      There is no software or company on the internet that can recover your locked files; we are the only ones who can help you.
      Do Not Change These Locked Files; if you want to do it anyway, make a backup of your files first.
      Frank_Help.txt Зашифрованные файлы.rar
    • Miks
      Зашифровали документы на предприятие
      От Miks
      Зашифрованые файл.happynewyear@cyberfear.rarAddition.txtFRST.txt
      В пятницу 20 декабря заметил что на несколько пк файлы не открываются. Потом уже понял что подцепили шифровщик.
    • Bruce007
      Шифровальщик с расширением fear.pw
      От Bruce007
      Здравствуйте!
      Поймали вирус-шифровальщик с расширением fear.pw прикладываю два зашифрованных файла и лог FRST (запускал с live cd) почта platishilidrochish@fear.pw
      Пожалуйста, помогите, чем можете!
      DeCrYpTiOn.txt FRST.txt Примеры файлов.rar
    • specxpilot
      Вирус зашифровал файлы с расширением .iw8
      От specxpilot
      Текст сообщения 
      !!!Your files have been encrypted!!!
      To recover them, please contact us via email:
      Write the ID in the email subject
      ID: E3EA701E87735CC1E8DD980E923F89D4
      Email 1: Datablack0068@gmail.com
      Email 2: Datablack0068@cyberfear.com
      Telegram: @Datablack0068

      To ensure decryption you can send 1-2 files (less than 1MB) we will decrypt it for free.
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLED PRICE.
      WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.
×
×
  • Создать...