Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

[РЕШЕНО] Прошу помощи в расшифровке файлов

serg1981
 Поделиться

Рекомендуемые сообщения

serg1981

serg1981

Опубликовано
Опубликовано

Доброго времени. Помогите с дешифровкой. К названиям файлов добавилось ".id-820367C7.[bitcharity@protonmail.com].com". И конечно же их нельзя открыть. Буду ОЧЕНЬ благодарен если вопрос решится. 

Вот пару зашифрованных файлов

https://drive.google.com/open?id=1QaXnqLM_fayx5cRcIDMM_eSWppunwq0q

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Dharma (.cezar Family), расшифровки нет. Будет только очистка следов и мусора.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\соня\AppData\Local\Pbrowserupd\Pbrowserupd.exe', '');
 DeleteSchedulerTask('Pbrowserupd');
 DeleteFile('C:\Users\соня\AppData\Local\Pbrowserupd\Pbrowserupd.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Regedit32', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено пользователем Sandor
serg1981

serg1981

Опубликовано
  • Автор
Опубликовано

KLAN-9968884346

Thank you for contacting Kaspersky Lab

Files and URLs you sent were scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
quarantine.zip

Our antivirus databases do not contain the specified URLs:
hxxps://www[.]avast[.]com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail

We will thoroughly analyze files and URLs you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

Sandor

Sandor

Опубликовано
Опубликовано

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog.

Ждём.
Sandor

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • 2 недели спустя...
Sandor

Sandor

Опубликовано
Опубликовано

Включите Восстановление системы.

 

Затем:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Chrome <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR StartupUrls: Default -> "hxxp://mypoisk.su/"
C:\Users\соня\AppData\Local\Google\Chrome\User Data\Default\Extensions\ofohpmdcbdgcchmhmmcfdmbegompidlm
C:\Users\соня\AppData\Local\Google\Chrome\User Data\Default\Extensions\bepnifeadnebdoanfocjnopjcppfhknc
C:\Users\соня\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\bepnifeadnebdoanfocjnopjcppfhknc
C:\Users\соня\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\bepnifeadnebdoanfocjnopjcppfhknc
C:\Users\соня\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\ofohpmdcbdgcchmhmmcfdmbegompidlm
C:\Users\соня\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\ofohpmdcbdgcchmhmmcfdmbegompidlm
S2 ahqjuafp; C:\WINDOWS\SysWOW64\ahqjuafp\feuqxty.exe [X]
S1 czzhunat; \??\C:\WINDOWS\system32\drivers\czzhunat.sys [X]
S1 dzndboaj; \??\C:\WINDOWS\system32\drivers\dzndboaj.sys [X]
FirewallRules: [{5C802FB9-E6A3-4714-A009-8355775BFB7C}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
FirewallRules: [{A322E6D2-50ED-41A7-ADC0-AF740954B02A}] => (Allow) C:\ProgramData\WindowsMenu\westat.exe No File
FirewallRules: [TCP Query User{55B2F323-0A81-405A-8316-D10866419A2F}C:\users\соня\appdata\local\temp\download\minithunderplatform.exe] => (Allow) C:\users\соня\appdata\local\temp\download\minithunderplatform.exe (ShenZhen Thunder Networking Technologies Ltd. -> 深圳市迅雷网络技术有限公司)
FirewallRules: [UDP Query User{7211623B-50E4-4DFA-8CEB-300F7D92E91A}C:\users\соня\appdata\local\temp\download\minithunderplatform.exe] => (Allow) C:\users\соня\appdata\local\temp\download\minithunderplatform.exe (ShenZhen Thunder Networking Technologies Ltd. -> 深圳市迅雷网络技术有限公司)
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

serg1981

serg1981

Опубликовано
  • Автор
Опубликовано

Есть. Только компьютер не перезагрузился.

Я делал так: на флешку скинул frst64.exe и код в файле  fixlist.txt. 

Далее отключил антивирус и "Используя меню "Параметры". Выбрать правой клавишей мыши меню "Пуск" - "Параметры" - меню "Обновление и безопасность" - "Восстановление" - нажать на кнопку перезагрузить сейчас."

Запустил командную строку и "В консоли командной строки скомандуйте notepad и нажмите клавишу Enter". 

Далее всё по тексту запуск от админа и вот он файл.

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Запустил командную строку и "В консоли командной строки скомандуйте notepad и нажмите клавишу Enter"

Это всё не верно. Восстановление системы у вас отключено и нужно было только его включить.

 

post-7386-0-02992600-1557300040_thumb.png

 

Повторите ещё раз фикс в обычном режиме.

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • st0rk
      Шифровальщик denied@india.com
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Зашифрованы файлы шифровальщиком denied@india.com
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • AlexeyZ
      Зашифрованы файлы -1A4B014A.{suri_namika@india.com}.xtbl
      Автор AlexeyZ
      Приветствую,
      прошу помощи в расшифровке  -1A4B014A.{suri_namika@india.com}.xtbl
      лог в прицепе
       
      с Уважением,
       
      CollectionLog-2016.11.07-13.22.zip
    • Страхов Дмитрий
      Файлы зашифрованы Vegclass@aol.com.xtbl
      Автор Страхов Дмитрий
      Просьба помочь с дешифратором.
       
      FRST.txt
      Addition.txt
    • Mike...
      Шифровальщик, расширение файлов XTBL
      Автор Mike...
      Ребята выручайте, зашифровался сервер с финансовой программой, предлагаемые касперским утилиты не помогают. Прикрепляю результаты сканирования программой FIRST.
      Addition.txt
      FRST.txt
×
×
  • Создать...