DOUBLEOFFSET. Переименовались и зашифровались файлы.

[kashkomaksim]

Из почты был занесен вирус. Файлы переименовались и зашифровались. В свойствах в типе файла написано "DOUBLEOFFSET". Помогите пожалуйста восстановить данные.

[Info_bot]

Уважаемый(ая) kashkomaksim, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравстуйте,

Прикрепите к следующему сообщение 2-3 зашифрованных файлов (не содержашиие конфиденциальную информацию). Важно понимать, что мы гарантировать удачную расшифровку не можем.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

O4 - HKLM\..\Run: [2435170] = 2435170  (file missing)
O4 - HKLM\..\Run: [2647237] = 2647237  (file missing)
O4 - HKLM\..\Run: [3075208] = 3075208  (file missing)
O4 - HKLM\..\Run: [3363586] = 3363586  (file missing)
O4 - HKLM\..\Run: [898854] = 898854  (file missing)

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[kashkomaksim]

Зашифрованные файлы

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  Start::
  CreateRestorePoint:
  CloseProcesses:
  HKLM\...\Run: [] => [X]
  File: C:\WINDOWS\system32\rpcss.dll 
  2018-11-29 08:34 - 2018-11-29 09:04 - 000000103 _____ C:\Documents and Settings\NetworkService\README.txt
  2018-11-29 08:34 - 2018-11-29 09:04 - 000000103 _____ C:\Documents and Settings\NetworkService\Local Settings\README.txt
  2018-11-29 08:34 - 2018-11-29 09:04 - 000000103 _____ C:\Documents and Settings\NetworkService\Local Settings\Application Data\README.txt
  2018-11-29 08:34 - 2018-11-29 09:04 - 000000103 _____ C:\Documents and Settings\NetworkService\Application Data\README.txt
  2018-11-29 08:34 - 2018-11-29 09:04 - 000000103 _____ C:\Documents and Settings\LocalService\README.txt
  2018-11-29 08:34 - 2018-11-29 09:04 - 000000103 _____ C:\Documents and Settings\LocalService\Local Settings\README.txt
  2018-11-29 08:34 - 2018-11-29 09:04 - 000000103 _____ C:\Documents and Settings\LocalService\Local Settings\Application Data\README.txt
  2018-11-29 08:34 - 2018-11-29 09:04 - 000000103 _____ C:\Documents and Settings\LocalService\Application Data\README.txt
  2018-11-29 08:34 - 2018-11-29 09:04 - 000000103 _____ C:\Documents and Settings\Default User\Рабочий стол\README.txt
  2018-11-29 08:34 - 2018-11-29 09:04 - 000000103 _____ C:\Documents and Settings\Default User\Мои документы\README.txt
  2018-11-29 08:34 - 2018-11-29 09:04 - 000000103 _____ C:\Documents and Settings\Default User\Главное меню\Программы\README.txt
  2018-11-29 08:34 - 2018-11-29 09:04 - 000000103 _____ C:\Documents and Settings\Default User\Главное меню\README.txt
  2018-11-29 08:34 - 2018-11-29 09:04 - 000000103 _____ C:\Documents and Settings\Default User\README.txt
  2018-11-29 08:34 - 2018-11-29 09:04 - 000000103 _____ C:\Documents and Settings\Default User\Local Settings\README.txt
  2018-11-29 08:34 - 2018-11-29 09:04 - 000000103 _____ C:\Documents and Settings\Default User\Local Settings\Application Data\README.txt
  2018-11-29 08:34 - 2018-11-29 09:04 - 000000103 _____ C:\Documents and Settings\Default User\Application Data\README.txt
  2018-11-29 08:34 - 2018-11-29 09:04 - 000000103 _____ C:\Documents and Settings\All Users\Главное меню\Программы\README.txt
  2018-11-29 08:34 - 2018-11-29 09:04 - 000000103 _____ C:\Documents and Settings\All Users\Главное меню\README.txt
  2018-11-29 08:34 - 2018-11-29 09:04 - 000000103 _____ C:\Documents and Settings\All Users\README.txt
  2018-11-29 08:34 - 2018-11-29 09:04 - 000000103 _____ C:\Documents and Settings\All Users\Application Data\README.txt
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

- - - - -Добавлено - - - - -

Для эксперимента могли бы приложить один зашифрованный файл и его исходник, например:

Код:

2018-11-29 08:35 - 2018-11-29 09:05 - 000001334 _____ () C:\Documents and Settings\User\Application Data\[email protected] 1.5.1.0.id-2960791145-405812757509920893927172.fname-README.txt.doubleoffset
2018-11-29 08:35 - 2018-11-29 09:05 - 000000103 _____ () C:\Documents and Settings\User\Application Data\README.txt

[kashkomaksim]

Файл fixlog



и файлы для эксперемента

[SQ]

К сожалению доступное нам решение не работает в вашем случае. Если есть лицензия на продукты Kaspersky Lab пробуйте обратиться к ним в тех. поддержку