• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Вирус doubleoffset

Статус
В этой теме нельзя размещать новые ответы.

Shustrix

Новый пользователь
Сообщения
9
Реакции
0
Добрый вечер. Вирус doubleoffset зашифровал все файлы на компьютере. Помогите пожалуйста вылечить компьютер. и расшифровать файлы.
 

Вложения

  • CollectionLog-2019.06.10-17.11.zip
    80.3 KB · Просмотры: 1
Нужны несколько зашифрованных файла (маленького размера)

++

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Все зашифрованные файлы с расширением doubleoffset
Все зашифрованные файлы с расширением doubleoffset не загружаются на ваш сайт. я стер расширение doubleoffset чтобы файлы загрузились
 

Вложения

  • AutoLogger.rar
    28.8 KB · Просмотры: 2
  • email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-Перевозчик ООО ТиР.docx
    13.2 KB · Просмотры: 2
  • email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-ТТН ОБРАЗЕЦ.xls
    74.7 KB · Просмотры: 1
Последнее редактирование:
Desktop\Desktop_Locker.exe - ваше?

Пароль на RDP смените.

Расширение файлов сами меняли?

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    2019-06-09 17:37 - 2019-06-09 17:38 - 000001279 _____ C:\Users\Public\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:37 - 2019-06-09 17:38 - 000001279 _____ C:\Users\Public\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:37 - 2019-06-09 17:38 - 000001279 _____ C:\Users\MSSQLFDLauncher\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:37 - 2019-06-09 17:38 - 000000082 _____ C:\Users\Public\README.txt
    2019-06-09 17:37 - 2019-06-09 17:38 - 000000082 _____ C:\Users\Public\Downloads\README.txt
    2019-06-09 17:37 - 2019-06-09 17:38 - 000000082 _____ C:\Users\MSSQLFDLauncher\README.txt
    2019-06-09 17:37 - 2019-06-09 17:37 - 000000082 _____ C:\Users\MSSQLFDLauncher\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 17:37 - 2019-06-09 17:37 - 000000082 _____ C:\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\MSSQLFDLauncher\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\MSSQLFDLauncher\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\MSSQLFDLauncher\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\MSSQLFDLauncher\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\MSSQLFDLauncher\AppData\LocalLow\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\MSSQLFDLauncher\AppData\Local\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\MSSQLFDLauncher\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\Default\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\Default\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\Default\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\Default\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\Default\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\Default\AppData\Local\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\Default\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\Default User\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\Default User\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\Default User\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\Default User\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\Default User\AppData\Local\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\Default User\AppData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\Boris\Downloads\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\Boris\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\Boris\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\Boris\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ C:\Users\Boris\AppData\LocalLow\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\MSSQLFDLauncher\Downloads\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\MSSQLFDLauncher\Documents\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\MSSQLFDLauncher\Desktop\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\MSSQLFDLauncher\AppData\Roaming\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\MSSQLFDLauncher\AppData\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\MSSQLFDLauncher\AppData\LocalLow\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\MSSQLFDLauncher\AppData\Local\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\Default\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\Default\Downloads\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\Default\Documents\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\Default\Desktop\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\Default\AppData\Roaming\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\Default\AppData\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\Default\AppData\Local\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\Default User\Downloads\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\Default User\Documents\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\Default User\Desktop\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\Default User\AppData\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\Default User\AppData\Local\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\Boris\Downloads\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\Boris\Documents\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\Boris\Desktop\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\Boris\AppData\Roaming\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ C:\Users\Boris\AppData\LocalLow\README.txt
    2019-06-09 17:36 - 2019-06-09 17:36 - 000000082 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 17:36 - 2019-06-09 17:36 - 000000082 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 17:36 - 2019-06-09 17:36 - 000000082 _____ C:\Users\Boris\README.txt
    2019-06-09 17:36 - 2019-06-09 17:36 - 000000082 _____ C:\Users\Boris\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 17:36 - 2019-06-09 17:36 - 000000082 _____ C:\Users\Boris\AppData\README.txt
    2019-06-09 17:36 - 2019-06-09 17:36 - 000000082 _____ C:\Users\Boris\AppData\Local\README.txt
    2019-06-09 17:31 - 2019-06-09 17:31 - 000000082 _____ C:\Program Files\README.txt
    2019-06-09 17:31 - 2019-06-09 17:31 - 000000082 _____ C:\Program Files (x86)\README.txt
    2019-06-09 17:29 - 2019-06-09 17:37 - 000001279 _____ C:\Users\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:29 - 2019-06-09 17:37 - 000000082 _____ C:\Users\README.txt
    2019-06-09 17:29 - 2019-06-09 17:29 - 000000082 _____ C:\Program Files\Common Files\README.txt
    2019-06-09 17:28 - 2019-06-09 17:38 - 000001279 _____ C:\Users\Public\Documents\README.txt
    2019-06-09 17:28 - 2019-06-09 17:38 - 000001279 _____ C:\Users\Public\Desktop\README.txt
    2019-06-09 17:28 - 2019-06-09 17:37 - 000001279 _____ C:\Users\Public\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:28 - 2019-06-09 17:37 - 000001279 _____ C:\Users\Public\Desktop\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:28 - 2019-06-09 17:36 - 000001279 _____ C:\Users\Boris\AppData\Local\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:28 - 2019-06-09 17:32 - 000001279 _____ C:\Users\Все пользователи\README.txt
    2019-06-09 17:28 - 2019-06-09 17:32 - 000001279 _____ C:\Users\Все пользователи\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:28 - 2019-06-09 17:32 - 000001279 _____ C:\Users\Boris\AppData\Local\Apps\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:28 - 2019-06-09 17:32 - 000001279 _____ C:\ProgramData\README.txt
    2019-06-09 17:28 - 2019-06-09 17:32 - 000001279 _____ C:\ProgramData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:28 - 2019-06-09 17:32 - 000000082 _____ C:\Users\Boris\AppData\Local\Apps\README.txt
    2019-06-09 17:28 - 2019-06-09 17:28 - 000000082 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2019-06-09 17:31 - 2019-06-09 17:31 - 000000082 _____ () C:\Program Files\README.txt
    2019-06-09 17:31 - 2019-06-09 17:31 - 000000082 _____ () C:\Program Files (x86)\README.txt
    2019-06-09 17:29 - 2019-06-09 17:29 - 000000082 _____ () C:\Program Files\Common Files\README.txt
    2019-06-09 17:31 - 2019-06-09 17:31 - 000000082 _____ () C:\Program Files (x86)\Common Files\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ () C:\Users\Boris\AppData\Roaming\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ () C:\Users\Boris\AppData\Roaming\README.txt
    2019-06-09 17:36 - 2019-06-09 17:38 - 000001279 _____ () C:\Users\Boris\AppData\Roaming\Microsoft\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:38 - 000000082 _____ () C:\Users\Boris\AppData\Roaming\Microsoft\README.txt
    2019-06-09 17:28 - 2019-06-09 17:36 - 000001279 _____ () C:\Users\Boris\AppData\Local\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-09 17:36 - 2019-06-09 17:36 - 000000082 _____ () C:\Users\Boris\AppData\Local\README.txt
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Desktop\Desktop_Locker.exe появилось само, после того, как все файлы зашифровались.
Пароль на RDP сменил.
Расширение сам менял чтобы загрузить на Ваш форум. (я удалил расширение .doubleoffset)
Что делать со скопированным кодом?
 

Вложения

  • Fixlog.txt
    20.4 KB · Просмотры: 1
Downloads\xm5uuoka.exe - cureit?
2019-06-09 20:56 - 2019-06-09 20:56 - 000000011 _____ C:\Users\Boris\Desktop\DesktopLocker.ini
2019-06-09 20:56 - 2019-06-06 23:59 - 000279303 _____ C:\Users\Boris\Desktop\Desktop_Locker.exe

Упакуйте с паролем "virus" и прикрепите к теме, а у себя удалите
 
\xm5uuoka.exe - это доктор web он ни чего не нашел )
Извиняюсь в прошлом сообщение Fixlog плохой был, я не правильно его создал, поторопился.
 

Вложения

  • DesktopLocker.rar
    267.3 KB · Просмотры: 0
  • Fixlog.txt
    19.9 KB · Просмотры: 1
Второй раз скрипт запускать не нужно. Ждите ответа @thyrex
 
Увы, расшифровки нет.
 
Огромное спасибо, за помощь. Очень жаль :( придется платить злоумышлиникам.
 
Еще раз спасибо.
 

Вложения

  • SecurityCheck.txt
    12 KB · Просмотры: 2
Перечисленное рекомендуется исправить/обновить:
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.19230 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Автоматическое обновление отключено
Дата установки обновлений: 2018-12-21 00:00:59
------------------------------- [ HotFix ] --------------------------------
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499164 Внимание! Скачать обновления
---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET Smart Security v.10.0.390.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.50907.0 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.60 (64-разрядная) v.5.60.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent 3.5.3 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 92 (64-bit) v.8.0.920.14 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u211-windows-x64.exe)^
Java 8 Update 92 v.8.0.920.14 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u211-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 ActiveX v.32.0.0.156 Внимание! Скачать обновления
Adobe Flash Player 21 NPAPI v.21.0.0.242 Внимание! Скачать обновления
Adobe Flash Player 21 PPAPI v.21.0.0.242 Внимание! Скачать обновления
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу