Решена Помогите в расшифровке файлов [Xorist]

Тема в разделе "Лечение компьютерных вирусов", создана пользователем saza79, 4 сен 2015.

Статус темы:
Закрыта.
  1. saza79
    Оффлайн

    saza79 Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    ПОМОГИТЕ ,пожалуйста,03,09,2015 года скачала и установила exe и все файлы стали с расширением CRYPTED!(V9q84v),не могу ни чего сделать.система не переустанавливалась, но нет файла crypted.txt и я не сама не удаляла его.Сделала логи AutoLogger.exe
     

    Вложения:

    Последнее редактирование: 4 сен 2015
  2. saza79
    Оффлайн

    saza79 Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Имеется сам exe файл с вирусом№
     
  3. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.475
    Симпатии:
    866
    Здравствуйте. Удалите через установка и удаление программ:

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    QuarantineFile('C:\Users\ADMIN\appdata\local\temp\services.exe','');
    QuarantineFile('C:\Windows\syswow64\hfpapi.dll','');
    QuarantineFile('C:\Windows\system32\hfpapi.dll','');
    QuarantineFile('C:\Users\ADMIN\AppData\Local\Temp\u552ow7VlF572HU.exe','');
    DeleteFile('C:\Windows\system32\hfpapi.dll','32');
    DeleteFile('C:\Windows\syswow64\hfpapi.dll','32');
    DeleteFile('C:\Users\ADMIN\appdata\local\temp\services.exe','32');
    DeleteFile('C:\Users\ADMIN\AppData\Local\Temp\u552ow7VlF572HU.exe','32');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код (Text):

    O2 - BHO: Weatherbar - {17177FAA-3830-43D3-A70B-FDE532676B1E} - C:\Program Files (x86)\tooldev342\Weatherbar\TracersToolbarBHO_x86.dll
    O2 - BHO: InjectScript - {F6C07882-D703-4DD5-905A-2C4E815A5066} - C:\Users\ADMIN\AppData\Roaming\D394D188-BAC7-4e03-8FAF-389A4D7EC6F4\Shopping Suggestion.dll
    O4 - HKLM\..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
    O4 - HKLM\..\Run: [Alcmeter] C:\Users\ADMIN\AppData\Local\Temp\u552ow7VlF572HU.exe
    O4 - Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
    O4 - Global Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
     
    • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
    • Распакуйте архив с утилитой в отдельную папку.
    • Запустите ClearLnk и скопируйте в окно программы следующий текст:

      Код (Text):

      C:\Users\Public\Desktop\Mozilla Firefox.lnk
      C:\Users\Public\Desktop\Opera.lnk
       
    • Нажмите на кнопку "Лечить" и дождитесь окончания работы программы.
    • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    • Прикрепите этот отчет к своему следующему сообщению.


    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.
     
  4. saza79
    Оффлайн

    saza79 Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    может и прогу удалить activInsprid?при е( установки вс( и случилось№
    --- Объединённое сообщение, 4 сен 2015, Дата первоначального сообщения: 4 сен 2015 ---
    Я выслала вам quarantine.zip и прикладываю ClearLNK-<Дата>.log
     

    Вложения:

  5. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.475
    Симпатии:
    866
    Пока не надо. Жду остальные логи
     
  6. saza79
    Оффлайн

    saza79 Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Вот лог AutoLogger
    --- Объединённое сообщение, 4 сен 2015 ---
    делаю AdwCleaner (by Xplode)
    --- Объединённое сообщение, 4 сен 2015 ---
    готов
    --- Объединённое сообщение, 4 сен 2015 ---
    ВсЁ правильно и что делать дальше ,возможно будет файлы вернуть в первоначальное состояние
    --- Объединённое сообщение, 4 сен 2015, Дата первоначального сообщения: 4 сен 2015 ---
    ПОМОГИТЕ ПОЖАЛУЙСТА от этих файлов зависит моя карьера
    --- Объединённое сообщение, 4 сен 2015 ---
    вот лог после очистке AdwCleaner (by Xplode)
     

    Вложения:

  7. thyrex
    Онлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.488
    Симпатии:
    3.101
    Нужен файл C:\Users\ADMIN\AppData\Local\Temp\u552ow7VlF572HU.exe
    Без него расшифровка невозможна

    Дубль темы на другом ресурсе закрыт
     
    Kиpилл нравится это.
  8. saza79
    Оффлайн

    saza79 Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    именно такого файла нет
     
  9. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.475
    Симпатии:
    866
    А он вроде попал в карантин.

    saza79,

    Скачайте Farbar Recovery Scan Tool [​IMG] и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
    [​IMG]
     
    Последнее редактирование: 4 сен 2015
  10. thyrex
    Онлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.488
    Симпатии:
    3.101
    Не хочу заранее радовать, но Вам повезло.
    В карантин попал дроппер заразы
     
  11. saza79
    Оффлайн

    saza79 Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    сейчас делаю отчёт фалбарам,потом что делать
    --- Объединённое сообщение, 4 сен 2015, Дата первоначального сообщения: 4 сен 2015 ---
    Что делать дальше,
     

    Вложения:

    • FRST.txt
      Размер файла:
      77,7 КБ
      Просмотров:
      1
    • Addition.txt
      Размер файла:
      31,1 КБ
      Просмотров:
      1
  12. thyrex
    Онлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.488
    Симпатии:
    3.101
    Расшифровка готова. Получите, когда закончим с лечением

    1. Откройте Блокнот и скопируйте в него приведенный ниже текст
    Код (Text):

    CreateRestorePoint:
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    HKU\S-1-5-21-2505759899-2830544974-2147229721-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://yapages.ru/?from=ic1sn
    FF Homepage: hxxp://yapages.ru/?from=ic1sn
    FF Plugin HKU\.DEFAULT: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll No File
    FF Plugin HKU\S-1-5-21-2505759899-2830544974-2147229721-1000: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll No File
    FF Extension: No Name - C:\Users\ADMIN\AppData\Roaming\Mozilla\Firefox\Profiles\pf5jlqdc.default\extensions\{4e38134d-ba98-4066-b898-e296d8acc938}.xpi [not found]
    FF Extension: No Name - C:\Users\ADMIN\AppData\Roaming\Mozilla\Firefox\Profiles\pf5jlqdc.default\extensions\{D394D188-BAC7-4e03-8FAF-389A4D7EC6F4}.xpi [not found]
    FF Extension: No Name - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta515\ff [not found]
    FF Extension: No Name - C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha898\ff [not found]
    FF Extension: No Name - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha217\ff [not found]
    FF Extension: No Name - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha8149\ff [not found]
    FF Extension: No Name - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home6883\ff [not found]
    FF Extension: No Name - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode7764\ff [not found]
    CHR Extension: (Quick Searcher) - C:\Users\ADMIN\AppData\Local\Google\Chrome\User Data\Default\Extensions\chlffgpmiacpedhhbkiomidkjlcfhogd [2015-09-04]
    CHR HKLM-x32\...\Chrome\Extension: [akfiimknbnhfojmmdibcdjjbdilblgkn] - C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha898\ch\MediaViewerV1alpha898.crx <not found>
    CHR HKLM-x32\...\Chrome\Extension: [ancklhhiadlcieoapgjmfigbnnahnhpc] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode7764\ch\MediaBuzzV1mode7764.crx <not found>
    CHR HKLM-x32\...\Chrome\Extension: [cpehacophfknebdmpgkljffmmjoeaacm] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha8149\ch\MediaViewV1alpha8149.crx <not found>
    CHR HKLM-x32\...\Chrome\Extension: [eakjooogobhkkdhdbjbablejiohgmbem] - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta515\ch\VideoPlayerV3beta515.crx <not found>
    CHR HKLM-x32\...\Chrome\Extension: [fikojkjolebdkjjkjjnkkdmelccpibco] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha689\ch\WebexpEnhancedV1alpha689.crx <not found>
    CHR HKLM-x32\...\Chrome\Extension: [ibgboopjlbbklonfohoofbkgelknbpno] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home6883\ch\MediaWatchV1home6883.crx <not found>
    CHR HKLM-x32\...\Chrome\Extension: [ngjpdcgmfkghfpmcoeoebcojfeiopgnh] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha217\ch\MediaViewV1alpha217.crx <not found>
    CHR HKLM-x32\...\Chrome\Extension: [nhgcieglcpdegkhamigiokdphfhhnlhh] - C:\Program Files (x86)\AlterGeo\Html5 geolocation provider\altergeo.crx <not found>
    OPR Extension: (Quick Searcher) - C:\Users\ADMIN\AppData\Roaming\Opera Software\Opera Stable\Extensions\chlffgpmiacpedhhbkiomidkjlcfhogd [2015-09-04]
    OPR Extension: (Info Enhancer for Chrome) - C:\Users\ADMIN\AppData\Roaming\Opera Software\Opera Stable\Extensions\dldcbakcjliccckkmfjcblhciilpdcil [2014-03-01]
    2015-09-04 11:18 - 2015-09-04 11:18 - 00001383 ____S C:\Users\ADMIN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхрlorеr.lnk
    2015-09-04 11:18 - 2015-09-04 11:18 - 00001379 ____S C:\Users\ADMIN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхрlorеr (64-bit).lnk
    2015-09-04 11:18 - 2015-09-04 11:18 - 00001245 ____S C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оpera.lnk
    2015-09-04 11:18 - 2015-09-04 11:18 - 00001209 ____S C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Мozilla Firefoх.lnk
    2015-09-04 11:18 - 2015-09-04 11:18 - 00000000 ____D C:\Users\ADMIN\AppData\Roaming\Browsers
    C:\Users\ADMIN\AppData\Local\Temp\AmigoDistrib.exe
    C:\Users\ADMIN\AppData\Local\Temp\iobitdownloader_123.exe
    C:\Users\ADMIN\AppData\Local\Temp\kometa_vd.exe
    Reboot:
     
    2. Нажмите ФайлСохранить как
    3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
    4. Укажите Тип файлаВсе файлы (*.*)
    5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
    6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
     
    Kиpилл и mike 1 нравится это.
  13. saza79
    Оффлайн

    saza79 Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    thyrex,
    --- Объединённое сообщение, 5 сен 2015 ---
    Вот лог
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      8,2 КБ
      Просмотров:
      0
  14. thyrex
    Онлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.488
    Симпатии:
    3.101
    Инструкция по расшифровке:

    1. Скачайте архив с дешифратором по ссылке Яндекс.Диск и разархивируйте в отдельную папку.
    2. Скачайте архив с файлом конфигурации из вложения и разархивируйте в папку с дешифратором (для удобства).
    3. Рекомендую для начала убедиться в расшифровке на одном файле (тестирование на Ваших файлах прошло успешно).
    4. Для разблокировки полного функционала используйте ключ
    .

    Если возникнут проблемы или вопросы, то задавайте их в своей теме.
    Когда расшифруете все файлы, сообщите, пожалуйста, результат в своей теме.

    При расшифровке утилита автоматически не удаляет зашифрованные файлы (на случай непредвиденной ситуации). Поэтому, если на диске мало свободного места, лучше расшифровывать информацию небольшими частями.
    Пользоваться кнопкой Удалить зашифрованные нужно после каждой отдельной операции расшифровки (убедившись в корректной расшифровке).

    Просьба напоследок: передавать дешифратор и файл конфигурации кому-либо из других пострадавших, КАТЕГОРИЧЕСКИ ЗАПРЕЩЕНО, т.к. это может окончательно убить файлы из-за неподходящих параметров расшифровки. Даже в случае, если расширение у зашифрованных файлов окажется таким, как в Вашем. Ибо версий с разными ключами с таким же расширением может быть несколько.
     

    Вложения:

    • U9q84V.zip
      Размер файла:
      221 байт
      Просмотров:
      1
    Kиpилл и Dragokas нравится это.
  15. saza79
    Оффлайн

    saza79 Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Спасибо .большое.буду пробовать результаты сообщу сразу.
    --- Объединённое сообщение, 5 сен 2015, Дата первоначального сообщения: 5 сен 2015 ---
    По одному файлу получилось?сдела вс( сразу программа зависла и пишет не отвечает мин ғ уже,что делать,
    --- Объединённое сообщение, 5 сен 2015 ---
    Программа очнулась ,но написала что какойто файл отказано в доступе,запускаю повторно
     
  16. thyrex
    Онлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.488
    Симпатии:
    3.101
    Если проблема будет повторяться, можно попробовать помочь удаленно с использованием Team Viewer
     
  17. saza79
    Оффлайн

    saza79 Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    давайте я сейчас скачаю тиам
    --- Объединённое сообщение, 5 сен 2015, Дата первоначального сообщения: 5 сен 2015 ---
    id 793 167 907
    пароль 1367
    --- Объединённое сообщение, 5 сен 2015 ---
    С нетерпением жду от вас ответа
     
  18. saza79
    Оффлайн

    saza79 Новый пользователь

    Сообщения:
    10
    Симпатии:
    0
    Извините за долгий ответ,всё расшивровалось хорошо.БОЛЬШОЕ ВАМ СПАСИБО!!!!!!!!!!!!!:Bye::Bye::Bye:
     
Статус темы:
Закрыта.

Поделиться этой страницей