• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Зашифровались файлы .dat

Статус
В этой теме нельзя размещать новые ответы.

Даниил

Новый пользователь
Сообщения
14
Реакции
0
Установил exe файл. Теперь все txt файлы зашифровались следующим образом ....txt.dat

Логи приложил
 

Вложения

  • Безымянный.png
    Безымянный.png
    5.4 KB · Просмотры: 103
  • hijackthis.log
    12.9 KB · Просмотры: 0
Здравствуйте!

Перечитайте, пожалуйста, правила. Нужен CollectionLog, собранный с помощью Автологера.
 
Прикрепил
 

Вложения

  • CollectionLog-2017.03.29-10.42.zip
    94.9 KB · Просмотры: 2
Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Вот
 

Вложения

  • Addition.txt
    37.6 KB · Просмотры: 1
  • FRST.txt
    38.6 KB · Просмотры: 1
  • Shortcut.txt
    105.6 KB · Просмотры: 1
Включите Восстановление системы.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
FF Extension: (\u0421\u043E\u0432\u0435\u0442\u043D\u0438\u043A\u0020\u042F\u043D\u0434\u0435\u043A\u0441\u002E\u041C\u0430\u0440\u043A\u0435\u0442\u0430) - C:\Users\Daniil\AppData\Roaming\Mozilla\Firefox\Profiles\onz785zw.default\Extensions\sovetnik@metabar.ru.xpi [2017-02-24]
CHR Extension: (Яндекс) - C:\Users\Daniil\AppData\Local\Google\Chrome\User Data\Default\Extensions\geidjeefddhgefeplhdlegoldlgiodon [2017-01-25]
CHR Extension: (Яндекс) - C:\Users\Daniil\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp [2017-01-25]
CHR Extension: (Стартовая — Яндекс) - C:\Users\Daniil\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjfkgjlnocfakoheoapicnknoglipapd [2017-01-23]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [432]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [432]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [432]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [432]
AlternateDataStreams: C:\Users\Daniil\Application Data:NT [40]
AlternateDataStreams: C:\Users\Daniil\Application Data:NT2 [432]
AlternateDataStreams: C:\Users\Daniil\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Daniil\AppData\Roaming:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [432]
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
FRST_move.png

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Найдите пару зашифрованный/не зашифрованный, упакуйте их вместе с запиской о выкупе
C:\Users\Daniil\Desktop\DECRYPT_FILES.txt
и тоже прикрепите к следующему сообщению.
 
Зашифрованные файлы не хотят отправляться
 

Вложения

  • Fixlog.txt
    4.1 KB · Просмотры: 2
  • DECRYPT_FILES.txt
    16 байт · Просмотры: 3
Зашифрованные файлы не хотят отправляться
Упакуйте с паролем. Либо залейте на файлообменник и сюда ссылку на скачивание.
Вымогатель Mobef. К сожалению, пока инструментов для расшифровки нет.
Впрочем, подождите вердикта эксперта.
 
А просит он сколько? И вообще расшифрует если отправить деньги?
Со мной связались с этого сайта ttp://grandfix.ru отправил им файлы, им можно доверять?
 
Последнее редактирование модератором:
Вчера писал что зашифровались файлы.. Ладно, с этим смирился.. Не восстановить так не восстановить.. Но ведь я так понимаю вирус так и сидит в пк?
Можно ли его как то удалить? Стереть?
 
логи
 

Вложения

  • CollectionLog-2017.03.30-14.23.zip
    99.1 KB · Просмотры: 4
Он так и шифрует все файлы. Как удалить этот вирус..
 
Настройки прокси ваши?
185.188.182.226:40001

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Ну да, поднимал сервера
 

Вложения

  • FRST.txt
    49.7 KB · Просмотры: 3
  • Addition.txt
    39.9 KB · Просмотры: 2
  • Shortcut.txt
    106.5 KB · Просмотры: 1
Все потерял
Вот что прислал вымогатель:

Pay 15 WMZ($) to the purse Z287700998472

Есть смысл?
 
Даниил, вам торопиться уже никуда,дождитесь свободного консультанта.
Платить ли злоумышленнику - сложный вопрос. Могут обмануть,а могут и нет.
Но потакать я бы им не стал.
 
Мне больше интересует как удалить эту заразу...
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу