Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Шифровальцик dat

nevus68
 Поделиться

Рекомендуемые сообщения

nevus68

nevus68

Опубликовано
Опубликовано

Добрый день. Обнаружен шифровальщик. Закодировал файлы, теперь они с расширением .dat. Помогите в расшифровке и чистке. Лог вложил.

CollectionLog-2018.06.15-15.39.zip

  • Ответов 39
  • Создана
  • Последний ответ

Топ авторов темы

  • nevus68

    17

  • thyrex

    13

  • mike 1

    9

  • akoK

    1

Топ авторов темы

nevus68

nevus68

Опубликовано
  • Автор
Опубликовано (изменено)

По чьей рекомендации запускался Combofix?

видимо самостоятельно, но не помню чтобы запускал

Изменено пользователем nevus68
mike 1

mike 1

Опубликовано
Опубликовано
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С. 




DeQuarantine::

C:\Qoobox\Quarantine\c\windows\wininit.ini

 

DirLook::

c:\windows\system32\unknown

 

Quit::


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

 

cfscript.gif

 

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

nevus68

nevus68

Опубликовано
  • Автор
Опубликовано

 

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С. 
DeQuarantine::
C:\Qoobox\Quarantine\c\windows\wininit.ini
 
DirLook::
c:\windows\system32\unknown
 
Quit::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
 
cfscript.gif
 
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

готово

ComboFix.txt

mike 1

mike 1

Опубликовано
Опубликовано
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
 
671e520b7c2d.jpg
 
Скачайте OTCleanIt, запустите, нажмите Clean up
 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 

 

nevus68

nevus68

Опубликовано
  • Автор
Опубликовано

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
 
671e520b7c2d.jpg
 
Скачайте OTCleanIt, запустите, нажмите Clean up
 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 

 

FRST.txt

Addition.txt

mike 1

mike 1

Опубликовано
Опубликовано
Деинсталлируйте Служба автоматического обновления программ .

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\...\Run: [MailRuUpdater] => C:\Users\Bitum\AppData\Local\Mail.Ru\MailRuUpdater.exe [3477176 2018-05-11] (Mail.Ru) <==== ATTENTION

GroupPolicy: Restriction ? <==== ATTENTION

GroupPolicy\User: Restriction ? <==== ATTENTION

CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ahnphcmhmhcjjcjhmnnjjlbmaeljecga] - hxxps://clients2.google.com/service/update2/crx

CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx

CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx

CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dmpojjilddefgnhiicjcmhbkjgbbclob] - hxxp://clients2.google.com/service/update2/crx

CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx

CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx

CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [ajflepegnononcfmoikdnephfleldnbh] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [pcodcgbpjdphncjkengnfigoiemaiapc] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx

S2 BitStreamSvc; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)

S2 BitStreamSvc; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)

R2 mrupdsrv; C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe [1314008 2017-08-11] (Mail.Ru) <==== ATTENTION

R2 Updater.Mail.Ru; C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe [3477176 2018-05-11] (Mail.Ru) <==== ATTENTION

Task: {FD582CE7-A772-4FEF-9051-3B73DDC9225A} - System32\Tasks\MailRuUpdater => C:\Users\Bitum\AppData\Local\Mail.Ru\MailRuUpdater.exe [2018-05-11] (Mail.Ru) <==== ATTENTION

C:\Users\Bitum\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

nevus68

nevus68

Опубликовано
  • Автор
Опубликовано

 

Деинсталлируйте Служба автоматического обновления программ .
 
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\...\Run: [MailRuUpdater] => C:\Users\Bitum\AppData\Local\Mail.Ru\MailRuUpdater.exe [3477176 2018-05-11] (Mail.Ru) <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ahnphcmhmhcjjcjhmnnjjlbmaeljecga] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dmpojjilddefgnhiicjcmhbkjgbbclob] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1553684141-3448958588-3310098841-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ajflepegnononcfmoikdnephfleldnbh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pcodcgbpjdphncjkengnfigoiemaiapc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
S2 BitStreamSvc; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 BitStreamSvc; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
R2 mrupdsrv; C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe [1314008 2017-08-11] (Mail.Ru) <==== ATTENTION
R2 Updater.Mail.Ru; C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe [3477176 2018-05-11] (Mail.Ru) <==== ATTENTION
Task: {FD582CE7-A772-4FEF-9051-3B73DDC9225A} - System32\Tasks\MailRuUpdater => C:\Users\Bitum\AppData\Local\Mail.Ru\MailRuUpdater.exe [2018-05-11] (Mail.Ru) <==== ATTENTION
C:\Users\Bitum\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

готово, архив на рабочем столе не появился

Fixlog.txt

mike 1

mike 1

Опубликовано
Опубликовано

C:\Users\Bitum\Desktop\useragent.txt.dat

C:\Users\Bitum\Desktop\30к за 24ч.png.dat
C:\Users\Bitum\Desktop\k7odX1XFcg8.jpg.dat
C:\Users\Bitum\Documents\DecryptFiles.txt

Упакуйте в архив и прикрепите к сообщению.

nevus68

nevus68

Опубликовано
  • Автор
Опубликовано

 

C:\Users\Bitum\Desktop\useragent.txt.dat

C:\Users\Bitum\Desktop\30к за 24ч.png.dat
C:\Users\Bitum\Desktop\k7odX1XFcg8.jpg.dat
C:\Users\Bitum\Documents\DecryptFiles.txt

Упакуйте в архив и прикрепите к сообщению.

 

Desktopfiles.rar

thyrex

thyrex

Опубликовано
Опубликовано

Есть образцы зашифрованных doc, docx, xls, xlsx, rar, zip файлов? Если есть таковые, прикрепите в архиве к следующему сообщению.

mike 1

mike 1

Опубликовано
Опубликовано

Что запускали перед тем, как файлы зашифровались?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Slim71
      Что нужно сделать для расшифровки файлов
      Автор Slim71
      Присоединяюсь к проблеме. Вышлите пожалуйста полную инструкцию что нужно сделать для расшифровки файлов. 
    • deadpool
      Ваши файлы были зашифрованы
      Автор deadpool
      такая же ситуация , поможете?
       

      Сообщение от модератора Mark D. Pearlstone Перенесено из темы
    • Elena1990
      вирус зашифровал все документы с расширением .id-8561587545_maxcrypt@foxmail2
      Автор Elena1990
      Здравсвуйте,обращаюсь к вам за помощью с расшифровкой файлов после вируса шифровальщика,возможно ли расшифровать документы вообще?Надеюсь на вашу помошь по данной проблеме.Прикрепляю логи после сканирования программой AutoLogger.exe
      CollectionLog-2015.06.11-14.48.zip
    • academy21
      Шифровальщик
      Автор academy21
      Здравствуйте!
       
        Я столкнулся с такой же проблемой.
        Вот текст сообщения:
       
        Унать стоимость декриптора можно, написав письмо на адрес:soldgreens@gmail.com
      В ТЕМЕ письма УКАЖИТЕ ВАШ ID:8437185801   Убедительная просьба не пытаться расшифровать файлы сторонними инструментами. Вы можете их окончательно испортить и даже оригинальный дешифровщик не поможет. Обращения принимаются до 12.06.2015 После 12.06.2015 любые обращения будут игнорироваться.   Письма обрабатываются автоматической системой.    
        Прикрепляю необходимые файлы.
       

      Сообщение от модератора Mark D. Pearlstone Перенесено из темы Addition.txt
      FRST.txt
    • Mosquito
      Шифровальщик файлов .green
      Автор Mosquito
      Пришло сообщение с вложенным файлом. Мои домашние вскрыли его и запустили файл (подумали что важный). после этого все документы за 10 лет оказались зашифрованными. Скрины прикладываю к сообщению.
       
      Текст сообщения: "Унать стоимость декриптора можно, написав письмо на адрес:soldgreens@gmail.com
      В ТЕМЕ письма УКАЖИТЕ ВАШ ID:3784919672   Убедительная просьба не пытаться расшифровать файлы сторонними инструментами. Вы можете их окончательно испортить и даже оригинальный дешифровщик не поможет. Обращения принимаются до 01.05.2015 После 01.05.2015 любые обращения будут игнорироваться.   Письма обрабатываются автоматической системой." CollectionLog-2015.05.20-16.10.zip



×
×
  • Создать...