• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Помогите в расшифровке файлов [Xorist]

Статус
В этой теме нельзя размещать новые ответы.

saza79

Активный пользователь
Сообщения
10
Реакции
0
Баллы
181
ПОМОГИТЕ ,пожалуйста,03,09,2015 года скачала и установила exe и все файлы стали с расширением CRYPTED!(V9q84v),не могу ни чего сделать.система не переустанавливалась, но нет файла crypted.txt и я не сама не удаляла его.Сделала логи AutoLogger.exe
 

Вложения

  • игровые формы обучения.doc.rar
    22.6 KB · Просмотры: 4
  • шаблон презентации своя игра.ppt.rar
    291.5 KB · Просмотры: 2
  • Shortcut.txt
    73.1 KB · Просмотры: 0
  • Addition.txt
    31.2 KB · Просмотры: 2
  • FRST.txt
    71.4 KB · Просмотры: 1
  • CollectionLog-2015.09.03-22.59.zip
    73.6 KB · Просмотры: 2
Последнее редактирование:

saza79

Активный пользователь
Сообщения
10
Реакции
0
Баллы
181
ПОМОГИТЕ ,пожалуйста,03,09,2015 года скачала и установила exe и все файлы стали с расширением CRYPTED!(V9q84v),не могу ни чего сделать.система не переустанавливалась, но нет файла crypted.txt и я не сама не удаляла его.Сделала логи AutoLogger.exe
Имеется сам exe файл с вирусом№
 

mike 1

Ветеран
Сообщения
2,435
Реакции
937
Баллы
543
Здравствуйте. Удалите через установка и удаление программ:


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
QuarantineFile('C:\Users\ADMIN\appdata\local\temp\services.exe','');
QuarantineFile('C:\Windows\syswow64\hfpapi.dll','');
QuarantineFile('C:\Windows\system32\hfpapi.dll','');
QuarantineFile('C:\Users\ADMIN\AppData\Local\Temp\u552ow7VlF572HU.exe','');
DeleteFile('C:\Windows\system32\hfpapi.dll','32');
DeleteFile('C:\Windows\syswow64\hfpapi.dll','32');
DeleteFile('C:\Users\ADMIN\appdata\local\temp\services.exe','32');
DeleteFile('C:\Users\ADMIN\AppData\Local\Temp\u552ow7VlF572HU.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O2 - BHO: Weatherbar - {17177FAA-3830-43D3-A70B-FDE532676B1E} - C:\Program Files (x86)\tooldev342\Weatherbar\TracersToolbarBHO_x86.dll
O2 - BHO: InjectScript - {F6C07882-D703-4DD5-905A-2C4E815A5066} - C:\Users\ADMIN\AppData\Roaming\D394D188-BAC7-4e03-8FAF-389A4D7EC6F4\Shopping Suggestion.dll
O4 - HKLM\..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
O4 - HKLM\..\Run: [Alcmeter] C:\Users\ADMIN\AppData\Local\Temp\u552ow7VlF572HU.exe
O4 - Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
O4 - Global Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt

  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Запустите ClearLnk и скопируйте в окно программы следующий текст:

    Код:
    C:\Users\Public\Desktop\Mozilla Firefox.lnk
    C:\Users\Public\Desktop\Opera.lnk
  • Нажмите на кнопку "Лечить" и дождитесь окончания работы программы.
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.
 

saza79

Активный пользователь
Сообщения
10
Реакции
0
Баллы
181
может и прогу удалить activInsprid?при е( установки вс( и случилось№
Я выслала вам quarantine.zip и прикладываю ClearLNK-<Дата>.log
 

Вложения

  • ClearLNK-04.09.2015_16-51.log
    2.2 KB · Просмотры: 1

saza79

Активный пользователь
Сообщения
10
Реакции
0
Баллы
181
Вот лог AutoLogger
делаю AdwCleaner (by Xplode)
готов
ВсЁ правильно и что делать дальше ,возможно будет файлы вернуть в первоначальное состояние
ПОМОГИТЕ ПОЖАЛУЙСТА от этих файлов зависит моя карьера
вот лог после очистке AdwCleaner (by Xplode)
 

Вложения

  • CollectionLog-2015.09.04-17.08.zip
    78.4 KB · Просмотры: 0
  • AdwCleaner[S1].txt
    7.3 KB · Просмотры: 1
  • AdwCleaner[C1].txt
    7.6 KB · Просмотры: 1

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,884
Реакции
2,588
Баллы
683
Нужен файл C:\Users\ADMIN\AppData\Local\Temp\u552ow7VlF572HU.exe
Без него расшифровка невозможна

Дубль темы на другом ресурсе закрыт
 

saza79

Активный пользователь
Сообщения
10
Реакции
0
Баллы
181
именно такого файла нет
 

mike 1

Ветеран
Сообщения
2,435
Реакции
937
Баллы
543
Нужен файл C:\Users\ADMIN\AppData\Local\Temp\u552ow7VlF572HU.exe
Без него расшифровка невозможна
А он вроде попал в карантин.

saza79,

Скачайте Farbar Recovery Scan Tool
NAAC5Ba.png
и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 
Последнее редактирование:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,884
Реакции
2,588
Баллы
683
Не хочу заранее радовать, но Вам повезло.
В карантин попал дроппер заразы
 

saza79

Активный пользователь
Сообщения
10
Реакции
0
Баллы
181
сейчас делаю отчёт фалбарам,потом что делать
Что делать дальше,
 

Вложения

  • FRST.txt
    77.7 KB · Просмотры: 1
  • Addition.txt
    31.1 KB · Просмотры: 1

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,884
Реакции
2,588
Баллы
683
Расшифровка готова. Получите, когда закончим с лечением

1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-2505759899-2830544974-2147229721-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://yapages.ru/?from=ic1sn
FF Homepage: hxxp://yapages.ru/?from=ic1sn
FF Plugin HKU\.DEFAULT: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll No File
FF Plugin HKU\S-1-5-21-2505759899-2830544974-2147229721-1000: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll No File
FF Extension: No Name - C:\Users\ADMIN\AppData\Roaming\Mozilla\Firefox\Profiles\pf5jlqdc.default\extensions\{4e38134d-ba98-4066-b898-e296d8acc938}.xpi [not found]
FF Extension: No Name - C:\Users\ADMIN\AppData\Roaming\Mozilla\Firefox\Profiles\pf5jlqdc.default\extensions\{D394D188-BAC7-4e03-8FAF-389A4D7EC6F4}.xpi [not found]
FF Extension: No Name - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta515\ff [not found]
FF Extension: No Name - C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha898\ff [not found]
FF Extension: No Name - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha217\ff [not found]
FF Extension: No Name - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha8149\ff [not found]
FF Extension: No Name - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home6883\ff [not found]
FF Extension: No Name - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode7764\ff [not found]
CHR Extension: (Quick Searcher) - C:\Users\ADMIN\AppData\Local\Google\Chrome\User Data\Default\Extensions\chlffgpmiacpedhhbkiomidkjlcfhogd [2015-09-04]
CHR HKLM-x32\...\Chrome\Extension: [akfiimknbnhfojmmdibcdjjbdilblgkn] - C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha898\ch\MediaViewerV1alpha898.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [ancklhhiadlcieoapgjmfigbnnahnhpc] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode7764\ch\MediaBuzzV1mode7764.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [cpehacophfknebdmpgkljffmmjoeaacm] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha8149\ch\MediaViewV1alpha8149.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [eakjooogobhkkdhdbjbablejiohgmbem] - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta515\ch\VideoPlayerV3beta515.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [fikojkjolebdkjjkjjnkkdmelccpibco] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha689\ch\WebexpEnhancedV1alpha689.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [ibgboopjlbbklonfohoofbkgelknbpno] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home6883\ch\MediaWatchV1home6883.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [ngjpdcgmfkghfpmcoeoebcojfeiopgnh] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha217\ch\MediaViewV1alpha217.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [nhgcieglcpdegkhamigiokdphfhhnlhh] - C:\Program Files (x86)\AlterGeo\Html5 geolocation provider\altergeo.crx <not found>
OPR Extension: (Quick Searcher) - C:\Users\ADMIN\AppData\Roaming\Opera Software\Opera Stable\Extensions\chlffgpmiacpedhhbkiomidkjlcfhogd [2015-09-04]
OPR Extension: (Info Enhancer for Chrome) - C:\Users\ADMIN\AppData\Roaming\Opera Software\Opera Stable\Extensions\dldcbakcjliccckkmfjcblhciilpdcil [2014-03-01]
2015-09-04 11:18 - 2015-09-04 11:18 - 00001383 ____S C:\Users\ADMIN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхрlorеr.lnk
2015-09-04 11:18 - 2015-09-04 11:18 - 00001379 ____S C:\Users\ADMIN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхрlorеr (64-bit).lnk
2015-09-04 11:18 - 2015-09-04 11:18 - 00001245 ____S C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Оpera.lnk
2015-09-04 11:18 - 2015-09-04 11:18 - 00001209 ____S C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Мozilla Firefoх.lnk
2015-09-04 11:18 - 2015-09-04 11:18 - 00000000 ____D C:\Users\ADMIN\AppData\Roaming\Browsers
C:\Users\ADMIN\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\ADMIN\AppData\Local\Temp\iobitdownloader_123.exe
C:\Users\ADMIN\AppData\Local\Temp\kometa_vd.exe
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 

saza79

Активный пользователь
Сообщения
10
Реакции
0
Баллы
181

Вложения

  • Fixlog.txt
    8.2 KB · Просмотры: 0

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,884
Реакции
2,588
Баллы
683
Инструкция по расшифровке:

1. Скачайте архив с дешифратором по ссылке Яндекс.Диск и разархивируйте в отдельную папку.
2. Скачайте архив с файлом конфигурации из вложения и разархивируйте в папку с дешифратором (для удобства).
3. Рекомендую для начала убедиться в расшифровке на одном файле (тестирование на Ваших файлах прошло успешно).
4. Для разблокировки полного функционала используйте ключ
:5jHp[3||+)K<vex-".?`10#lUc$56=m
.

Если возникнут проблемы или вопросы, то задавайте их в своей теме.
Когда расшифруете все файлы, сообщите, пожалуйста, результат в своей теме.

При расшифровке утилита автоматически не удаляет зашифрованные файлы (на случай непредвиденной ситуации). Поэтому, если на диске мало свободного места, лучше расшифровывать информацию небольшими частями.
Пользоваться кнопкой Удалить зашифрованные нужно после каждой отдельной операции расшифровки (убедившись в корректной расшифровке).

Просьба напоследок: передавать дешифратор и файл конфигурации кому-либо из других пострадавших, КАТЕГОРИЧЕСКИ ЗАПРЕЩЕНО, т.к. это может окончательно убить файлы из-за неподходящих параметров расшифровки. Даже в случае, если расширение у зашифрованных файлов окажется таким, как в Вашем. Ибо версий с разными ключами с таким же расширением может быть несколько.
 

Вложения

  • U9q84V.zip
    221 байт · Просмотры: 2

saza79

Активный пользователь
Сообщения
10
Реакции
0
Баллы
181
Спасибо .большое.буду пробовать результаты сообщу сразу.
По одному файлу получилось?сдела вс( сразу программа зависла и пишет не отвечает мин ғ уже,что делать,
Программа очнулась ,но написала что какойто файл отказано в доступе,запускаю повторно
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,884
Реакции
2,588
Баллы
683
Если проблема будет повторяться, можно попробовать помочь удаленно с использованием Team Viewer
 

saza79

Активный пользователь
Сообщения
10
Реакции
0
Баллы
181
давайте я сейчас скачаю тиам
id 793 167 907
пароль 1367
С нетерпением жду от вас ответа
 

saza79

Активный пользователь
Сообщения
10
Реакции
0
Баллы
181
Извините за долгий ответ,всё расшивровалось хорошо.БОЛЬШОЕ ВАМ СПАСИБО!!!!!!!!!!!!!:Bye::Bye::Bye:
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу