Перейти к содержанию

Шифровка better_call_saul как дешифровать


Рекомендуемые сообщения

Сказали что открыли письмо с почты и после перезагрузки не один док не открывается на вирусы проверили и удалили пытался сам дешифровать вашими утилитами но ничего не вышло, на компе база 1С. переустановка не самый лучший выход из ситуации( лог прилагается)

CollectionLog-2016.03.22-15.39.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\program files (x86)\sfk\ssfk.exe');
 TerminateProcessByName('c:\programdata\rwdmr\wdman.exe');
 StopService('SSFK');
 StopService('WdMan');
 QuarantineFileF('c:\program files (x86)\sfk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\rwdmr', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\dns\appdata\local\smartweb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\dns\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk', '');
 QuarantineFile('C:\Users\dns\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk', '');
 QuarantineFile('C:\Users\dns\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk', '');
 QuarantineFile('C:\Users\dns\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk', '');
 QuarantineFile('C:\Users\dns\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk', '');
 QuarantineFile('C:\Users\dns\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\dns\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASUS\AsusVibe\АSUS  Vibе Fun Сеntеr.lnk', '');
 QuarantineFile('c:\program files (x86)\google\chrome\chrome.bat', '');
 QuarantineFile('c:\program files (x86)\internet explorer\iexplore.bat', '');
 QuarantineFile('c:\users\dns\appdata\local\yandex\yandexbrowser\application\browser.bat', '');
 QuarantineFile('C:\Program Files (x86)\ASUS\AsusVibe\asusvibelauncher.bat', '');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 QuarantineFile('c:\program files (x86)\sfk\ssfk.exe', '');
 QuarantineFile('c:\programdata\rwdmr\wdman.exe', '');
 QuarantineFile('C:\Users\dns\AppData\Local\SmartWeb\SmartWebHelper.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "SmartWeb Upgrade Trigger Task" /F', 0, 15000, true);
 DeleteFile('c:\program files (x86)\google\chrome\chrome.bat', '');
 DeleteFile('c:\program files (x86)\internet explorer\iexplore.bat', '');
 DeleteFile('c:\users\dns\appdata\local\yandex\yandexbrowser\application\browser.bat', '');
 DeleteFile('C:\Program Files (x86)\ASUS\AsusVibe\asusvibelauncher.bat', '');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 DeleteFile('c:\program files (x86)\sfk\ssfk.exe', '32');
 DeleteFile('c:\programdata\rwdmr\wdman.exe', '32');
 DeleteFile('C:\Users\dns\AppData\Local\SmartWeb\SmartWebHelper.exe', '32');
 DeleteFileMask('c:\program files (x86)\sfk', '*', true);
 DeleteFileMask('c:\programdata\rwdmr', '*', true);
 DeleteFileMask('c:\users\dns\appdata\local\smartweb', '*', true);
 DeleteDirectory('c:\program files (x86)\sfk');
 DeleteDirectory('c:\programdata\rwdmr');
 DeleteDirectory('c:\users\dns\appdata\local\smartweb');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','qfjlafzrsp');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 DeleteService('SSFK');
 DeleteService('WdMan');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.


Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)


Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

YAC(Yet Another Cleaner!)

 

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

[spoiler'цитата']

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\program files (x86)\sfk\ssfk.exe');
 TerminateProcessByName('c:\programdata\rwdmr\wdman.exe');
 StopService('SSFK');
 StopService('WdMan');
 QuarantineFileF('c:\program files (x86)\sfk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\rwdmr', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\dns\appdata\local\smartweb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\dns\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk', '');
 QuarantineFile('C:\Users\dns\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk', '');
 QuarantineFile('C:\Users\dns\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk', '');
 QuarantineFile('C:\Users\dns\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk', '');
 QuarantineFile('C:\Users\dns\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk', '');
 QuarantineFile('C:\Users\dns\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\dns\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASUS\AsusVibe\АSUS  Vibе Fun Сеntеr.lnk', '');
 QuarantineFile('c:\program files (x86)\google\chrome\chrome.bat', '');
 QuarantineFile('c:\program files (x86)\internet explorer\iexplore.bat', '');
 QuarantineFile('c:\users\dns\appdata\local\yandex\yandexbrowser\application\browser.bat', '');
 QuarantineFile('C:\Program Files (x86)\ASUS\AsusVibe\asusvibelauncher.bat', '');
 QuarantineFile('c:\programdata\windows\csrss.exe', '');
 QuarantineFile('c:\program files (x86)\sfk\ssfk.exe', '');
 QuarantineFile('c:\programdata\rwdmr\wdman.exe', '');
 QuarantineFile('C:\Users\dns\AppData\Local\SmartWeb\SmartWebHelper.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "SmartWeb Upgrade Trigger Task" /F', 0, 15000, true);
 DeleteFile('c:\program files (x86)\google\chrome\chrome.bat', '');
 DeleteFile('c:\program files (x86)\internet explorer\iexplore.bat', '');
 DeleteFile('c:\users\dns\appdata\local\yandex\yandexbrowser\application\browser.bat', '');
 DeleteFile('C:\Program Files (x86)\ASUS\AsusVibe\asusvibelauncher.bat', '');
 DeleteFile('c:\programdata\windows\csrss.exe', '32');
 DeleteFile('c:\program files (x86)\sfk\ssfk.exe', '32');
 DeleteFile('c:\programdata\rwdmr\wdman.exe', '32');
 DeleteFile('C:\Users\dns\AppData\Local\SmartWeb\SmartWebHelper.exe', '32');
 DeleteFileMask('c:\program files (x86)\sfk', '*', true);
 DeleteFileMask('c:\programdata\rwdmr', '*', true);
 DeleteFileMask('c:\users\dns\appdata\local\smartweb', '*', true);
 DeleteDirectory('c:\program files (x86)\sfk');
 DeleteDirectory('c:\programdata\rwdmr');
 DeleteDirectory('c:\users\dns\appdata\local\smartweb');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','qfjlafzrsp');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 DeleteService('SSFK');
 DeleteService('WdMan');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

 

YAC(Yet Another Cleaner!)

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

 

вСЕ логи записал прилагаю)

AdwCleanerS1.txt

ClearLNK-22.03.2016_18-18.log

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Карантин отправьте по указанному адресу.
 
Далее:
1.

  •  
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
     
  • Нажмите кнопку "Scan" ("Сканировать"). 
     
  • По окончании сканирования в меню Настройки отметьте дополнительно:
    •  
  • Сброс политик IE
     
  • Сброс политик Chrome
     
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!.
 
Подробнее читайте в этом руководстве.
 
 
2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".
 
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
 
Не нужно цитировать все предыдущее сообщение. Отвечайте в форме под этим сообщением.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Все готово)


Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

SSFK.exe,
WdMan.exe,
Gооglе Сhrоmе.lnk,
Intеrnеt Ехрlоrеr.lnk,
Yаndех.lnk,
Intеrnеt Ехрlоrеr_0.lnk,
Yаndех_0.lnk,
Launch Internet Explorer Browser.lnk,
Mozilla Firefox.lnk,
Ореrа.lnk,
АSUS Vibе Fun Сеntеr.lnk,
browser.bat,
asusvibelauncher.bat
iexplore.bat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

csrss.exe - Trojan.Win32.Fsysna.cznf

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

SSFK.exe,
WdMan.exe,
Gооglе Сhrоmе.lnk,
Intеrnеt Ехрlоrеr.lnk,
Yаndех.lnk,
Intеrnеt Ехрlоrеr_0.lnk,
Yаndех_0.lnk,
Launch Internet Explorer Browser.lnk,
Mozilla Firefox.lnk,
Ореrа.lnk,
АSUS Vibе Fun Сеntеr.lnk,
browser.bat,
asusvibelauncher.bat
iexplore.bat

A set of unknown files has been received. They will be sent to the Virus Lab.

csrss.exe - Trojan.Win32.Fsysna.cznf

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
From:
Sent: 3/22/2016 11:32:26 AM
To: newvirus@kaspersky.com
Subject: better_call_saul

 

 

Ответ С касперского

Shortcut.txt

Addition.txt

AdwCleanerC1.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Программу просмотра картинок

qksee

ставили самостоятельно?

 
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKU\S-1-5-21-2427197069-2326139705-1781454603-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://v9.com?type=hp&ts=1450310900&from=mych123&uid=hgstxhts541010a9e680_jb1000130std9r0std9rx&z=70934cafafc342b03061352g7z4w6eec3g9z8qcwbw
HKU\S-1-5-21-2427197069-2326139705-1781454603-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://v9.com?type=hp&ts=1450310900&from=mych123&uid=hgstxhts541010a9e680_jb1000130std9r0std9rx&z=70934cafafc342b03061352g7z4w6eec3g9z8qcwbw
BHO: No Name -> {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -> No File
BHO-x32: No Name -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> No File
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKLM-x32 - No Name - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -  No File
FF Extension: No Name - C:\Users\dns\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\arthurj8283@gmail.com [2016-03-22] [not signed]
2016-03-22 15:19 - 2016-03-22 15:19 - 00000000 ____D C:\Users\dns\AppData\Roaming\WinZiper
2016-03-21 09:57 - 2016-03-22 18:13 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-03-21 09:57 - 2016-03-22 18:13 - 00000000 __SHD C:\ProgramData\Windows
2015-12-24 13:38 - 2015-12-24 13:38 - 02770377 _____ (iBank) C:\Program Files (x86)\SSFK.exe
C:\Users\dns\AppData\Local\Temp\gm6xAZe3XFK8.exe
C:\Users\dns\AppData\Local\Temp\OD8mkJAlNmv2.exe
C:\Users\dns\AppData\Local\Temp\RkKddn3XeJOC.exe
C:\Users\dns\AppData\Local\Temp\snGLUIQecYIV.exe
C:\Users\dns\AppData\Local\Temp\udhsyKxY7EAC.exe
C:\Users\dns\AppData\Local\Temp\Xo7uhuvslun2.exe
FirewallRules: [{4347916C-99D9-4172-A403-F7A3D651B2BE}] => (Allow) C:\Users\dns\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{E2FD4A78-8EAA-4FDB-AE33-E71D45756526}] => (Allow) C:\Users\dns\AppData\Local\MediaGet2\mediaget.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Попробуйте удалить через Панель управления - Удаление программ. Если не получится:

 

  1. Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание.
Если у вас установлены архиваторы
WinRAR
или
7-Zip
, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
, при необходимости укажите пароль администратора и нажмите
"Да"
.

Подробнее читайте в руководстве Как подготовить лог UVS.

Ссылка на комментарий
Поделиться на другие сайты

нет, для того чтоб получить ответ на запрос( я скинул им все файлы и описал проблему № запроса INC000005972205.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...