Перейти к содержанию

Вирус криптограф.расширение BETTER_CALL_SAUL

pu-81
 Поделиться

Рекомендуемые сообщения

pu-81 Новичок

pu-81

Опубликовано
Опубликовано

Здравствуйте, пришло письмо по почте якобы со счетом на оплату, все файли изменили название на набор символов и расширение на BETTER_CALL_SAUL
помогите пожалуйста расшифровать.

CollectionLog-2016.03.28-14.59.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Twilight Pretty Search
Wajam

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README9.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README8.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README7.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README6.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README5.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README4.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README3.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README2.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README10.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README1.txt
2016-03-28 12:13 - 2016-03-28 12:13 - 00000000 __SHD C:\Users\Пользователь\AppData\Roaming\System32
2016-03-28 12:12 - 2016-03-28 12:12 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-03-28 12:12 - 2016-03-28 12:12 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Пользователь\AppData\Local\Temp\E582C998.exe
C:\Users\Пользователь\AppData\Local\Temp\utt9DAA.tmp.exe
AlternateDataStreams: C:\Users\Пользователь\Desktop\-LjhPQxCm6yFZKQo1MNX3NU-Be4JrDLDr6T6T3Ua3xg=.0E31EAE525883190DB14.better_call_saul:3or4kl4x13tuuug3Byamue2s4b [99]
AlternateDataStreams: C:\Users\Пользователь\Desktop\-LjhPQxCm6yFZKQo1MNX3NU-Be4JrDLDr6T6T3Ua3xg=.0E31EAE525883190DB14.better_call_saul:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Пользователь\Desktop\1.jpeg:3or4kl4x13tuuug3Byamue2s4b [99]
AlternateDataStreams: C:\Users\Пользователь\Desktop\1.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Пользователь\Desktop\12.jpeg:3or4kl4x13tuuug3Byamue2s4b [99]
AlternateDataStreams: C:\Users\Пользователь\Desktop\12.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Пользователь\Desktop\Li22paLZ7IZzxcmF2IFzE5a7fatdn-OOk3++mm3rpRM=.0E31EAE525883190DB14.better_call_saul:3or4kl4x13tuuug3Byamue2s4b [99]
AlternateDataStreams: C:\Users\Пользователь\Desktop\Li22paLZ7IZzxcmF2IFzE5a7fatdn-OOk3++mm3rpRM=.0E31EAE525883190DB14.better_call_saul:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Пользователь\Desktop\vh3KAHtPs9L7RPh9I9534cTJ7+PrSXGLfz0BV+ufkb4wCfj40SFpozuovHHC6yUjJqEShOZedXX71uOS-sBDEQ==.0E31EAE525883190DB14.better_call_saul:3or4kl4x13tuuug3Byamue2s4b [99]
AlternateDataStreams: C:\Users\Пользователь\Desktop\vh3KAHtPs9L7RPh9I9534cTJ7+PrSXGLfz0BV+ufkb4wCfj40SFpozuovHHC6yUjJqEShOZedXX71uOS-sBDEQ==.0E31EAE525883190DB14.better_call_saul:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Расширение (Chime) в Хроме ставили самостоятельно? Если нет, удалите.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Вариантов не много:

Купить лицензию, попросить знакомых (у которых есть лицензия), попытаться восстановить средствами Windows, пойти на поводу у злоумышленников.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Aleks yakov
      Вирус шифровальщик kozanostra
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • Nickopol
      Удалить вирус
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
×
×
  • Создать...