файлы зашифрованы better_call_saul

[___Amigo___]

пользователь подхватил вирус который зашифровал все документы. помогите с дешифратором

CollectionLog-2016.03.24-13.44.zip

eFH5MfQjpYkYaF89qzlJ3w==.1BD0350A42F14D907A30.zip

[SQ]

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mount_disk.vbs','');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 QuarantineFile('c:\users\user\downloads\autologger\autologger.exe','');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)



- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[___Amigo___]

KLAN-3997939441

[mike 1]

Новые логи где?

[Vadjume]

Добрый день!

KLAN-4000060209

логи KLAN-4000083532 FRST.txt Addition.txt также отправил на newvirus@kaspersky.com 

Изменено 24 марта, 2016 пользователем Vadjume

[mike 1]

Vadjume а Вы кто? Почему пишите в чужой теме? 

Изменено 24 марта, 2016 пользователем mike 1

[Vadjume]

mike 1 у меня такая же проблема, словили вчера это вирус, а тема не общая? 

[mike 1]

mike 1 у меня такая же проблема, словили вчера это вирус, а тема не общая? 

Свою тему создать не догадались? 

[Vadjume]

 

mike 1 у меня такая же проблема, словили вчера это вирус, а тема не общая? 

Свою тему создать не догадались? 

 

Нет не догадался, из-за суеты этого вируса. Мне создавать новую тему под себя или можно тут мне остаться?

[mike 1]

 

 

mike 1 у меня такая же проблема, словили вчера это вирус, а тема не общая? 

Свою тему создать не догадались? 

 

Нет не догадался, из-за суеты этого вируса. Мне создавать новую тему под себя или можно тут мне остаться?

 

Если каждый начнет писать в чужой теме, то тема превратиться в помойку. Поэтому создавайте свою тему.

[___Amigo___]

логи

Addition.txt

FRST.txt

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  2016-03-24 11:58 - 2016-03-24 11:58 - 00000000 _____ C:\autoexec.bat
  2016-03-23 16:24 - 2016-03-23 16:24 - 00002740 _____ C:\README9.txt
  2016-03-23 16:24 - 2016-03-23 16:24 - 00002740 _____ C:\README8.txt
  2016-03-23 16:24 - 2016-03-23 16:24 - 00002740 _____ C:\README7.txt
  2016-03-23 16:24 - 2016-03-23 16:24 - 00002740 _____ C:\README6.txt
  2016-03-23 16:24 - 2016-03-23 16:24 - 00002740 _____ C:\README5.txt
  2016-03-23 16:24 - 2016-03-23 16:24 - 00002740 _____ C:\README4.txt
  2016-03-23 16:24 - 2016-03-23 16:24 - 00002740 _____ C:\README3.txt
  2016-03-23 16:24 - 2016-03-23 16:24 - 00002740 _____ C:\README2.txt
  2016-03-23 16:24 - 2016-03-23 16:24 - 00002740 _____ C:\README10.txt
  2016-03-23 16:24 - 2016-03-23 16:24 - 00002740 _____ C:\README1.txt
  HKU\S-1-5-21-1794246846-2365410826-3108470240-1000\...\Run: [Client Server Runtime Subsystem] => "C:\ProgramData\Windows\csrss.exe"
  2016-03-23 16:23 - 2016-03-24 09:51 - 00000000 __SHD C:\Users\Все пользователи\Windows
  2016-03-23 16:23 - 2016-03-24 09:51 - 00000000 __SHD C:\ProgramData\Windows
  C:\Users\user\AppData\Local\Temp\AcDeltree.exe
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[___Amigo___]

лог

Fixlog.txt

[SQ]

С расшифровкой не поможем.