Перейти к содержанию

Вирус криптограф.расширение BETTER_CALL_SAUL

pu-81
 Поделиться

Рекомендуемые сообщения

pu-81

pu-81

Опубликовано
Опубликовано

Здравствуйте, пришло письмо по почте якобы со счетом на оплату, все файли изменили название на набор символов и расширение на BETTER_CALL_SAUL
помогите пожалуйста расшифровать.

CollectionLog-2016.03.28-14.59.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Twilight Pretty Search
Wajam

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README9.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README8.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README7.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README6.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README5.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README4.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README3.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README2.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README10.txt
2016-03-28 13:15 - 2016-03-28 13:15 - 00002714 _____ C:\Users\Пользователь\Desktop\README1.txt
2016-03-28 12:13 - 2016-03-28 12:13 - 00000000 __SHD C:\Users\Пользователь\AppData\Roaming\System32
2016-03-28 12:12 - 2016-03-28 12:12 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-03-28 12:12 - 2016-03-28 12:12 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Пользователь\AppData\Local\Temp\E582C998.exe
C:\Users\Пользователь\AppData\Local\Temp\utt9DAA.tmp.exe
AlternateDataStreams: C:\Users\Пользователь\Desktop\-LjhPQxCm6yFZKQo1MNX3NU-Be4JrDLDr6T6T3Ua3xg=.0E31EAE525883190DB14.better_call_saul:3or4kl4x13tuuug3Byamue2s4b [99]
AlternateDataStreams: C:\Users\Пользователь\Desktop\-LjhPQxCm6yFZKQo1MNX3NU-Be4JrDLDr6T6T3Ua3xg=.0E31EAE525883190DB14.better_call_saul:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Пользователь\Desktop\1.jpeg:3or4kl4x13tuuug3Byamue2s4b [99]
AlternateDataStreams: C:\Users\Пользователь\Desktop\1.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Пользователь\Desktop\12.jpeg:3or4kl4x13tuuug3Byamue2s4b [99]
AlternateDataStreams: C:\Users\Пользователь\Desktop\12.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Пользователь\Desktop\Li22paLZ7IZzxcmF2IFzE5a7fatdn-OOk3++mm3rpRM=.0E31EAE525883190DB14.better_call_saul:3or4kl4x13tuuug3Byamue2s4b [99]
AlternateDataStreams: C:\Users\Пользователь\Desktop\Li22paLZ7IZzxcmF2IFzE5a7fatdn-OOk3++mm3rpRM=.0E31EAE525883190DB14.better_call_saul:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Пользователь\Desktop\vh3KAHtPs9L7RPh9I9534cTJ7+PrSXGLfz0BV+ufkb4wCfj40SFpozuovHHC6yUjJqEShOZedXX71uOS-sBDEQ==.0E31EAE525883190DB14.better_call_saul:3or4kl4x13tuuug3Byamue2s4b [99]
AlternateDataStreams: C:\Users\Пользователь\Desktop\vh3KAHtPs9L7RPh9I9534cTJ7+PrSXGLfz0BV+ufkb4wCfj40SFpozuovHHC6yUjJqEShOZedXX71uOS-sBDEQ==.0E31EAE525883190DB14.better_call_saul:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Расширение (Chime) в Хроме ставили самостоятельно? Если нет, удалите.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Вариантов не много:

Купить лицензию, попросить знакомых (у которых есть лицензия), попытаться восстановить средствами Windows, пойти на поводу у злоумышленников.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • farguskz
      вирус
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
    • Anton3456
      [РЕШЕНО] появился вирус
      Автор Anton3456
      CollectionLog-2025.08.02-22.40.zip
       
    • alexansh
      Если вирус был на андроиде UDS:Trojan.AndroidOS.Piom.bngd
      Автор alexansh
      На смартфоне
      Версия Android 9 PPR1.180610.011
      Проверял антивирусом
      Kaspersky Free 
      Версия 11.124.4.14286
      Вирус: UDS:Trojan.AndroidOS.Piom.bngd
      -----------------------------------------------
      Если на смартфоне при открытии приложения "Сбербанк" появилось сообщение, что обнаружен вирус "UDS:Trojan.AndroidOS.Piom.bngd" 
      и при этом давалась возможность удалить этот вирус, что я и сделал (удалил его).
      В тех.поддержке Сбербанка мне сказали, что этот вирус был в прошивке смартфона, и что теперь уже он удалён модулем Касперского.
      Также сказали, что какие могут быть последствия от этого вируса, они не знают.
      Рекомендовали обратиться в Лабораторию Касперского.
      После этого на смартфоне иногда возникали торможения - черный экран во время работы на некоторое время и черный экран при перезагрузке на некоторое время.
      Кнопками можно было вывести смартфон в нормальное состояние. Но в основном смартфон работает нормально.
      **********************************************************************************************************************************
      Хотел узнать, что это за троян, что он делает, какие возможные последствия и как его можно побороть ?
      И лечится ли он антивирусом, если находится в прошивке ? (ведь при входе в приложение Сбербанк вирус был удален из прошивки).
      И как "очистить" прошивку, чтобы быть уверенным, что там всё в порядке ?
      И как избавиться от последствий этого трояна ?

    • Eugenij_
      Вирус в оперативке видеокарты
      Автор Eugenij_
      Здравствуйте. Сегодня поймал удивительного вируса. Купил видеокарту недорого. На Озоне. Говорят, на витрине стояла. 1070. Воткнул. Начал ставить драйвера. Смотрю. У меня архивчик на рабочем столе сам мелькнул. И пропал. Я, естественно, шнур интернета выдернул. И перезагузился в линукс. И начал наблюдать удивительную картину, как у меня в папку загрузки сыплется софт. Я его удаляю, а он снова летит. Там даже сервер под винду падал. Денвер. Драйвера на мою материнку...  Касперский ни звука. Ладно, гружу винду в безопасном режиме. Лезу в службы и обнруживаю драйвер Рам диска. И отключить зараза не даёт. Отдавать не хочу. Интересно сбороть. Тут, наверное, только биос шить? К сожалению это было уже ночью. Не было сил нормально понаблюдать. Пока компьютер не включал. 
    • dpv909
      Вирус DPC:PowerShell.AVKill.10
      Автор dpv909
      Поймал судя по всему майнер. Откуда - идей нет. DrWeb - он обнаруживает его, выдает следующее: Дата:
      12.08.2025 8:16Компонент:
      SpIDer GuardКод:
      501Событие:
      Обнаружена угрозаСведения:
      Объект: powershell.exe Угроза: DPC:PowerShell.AVKill.10 Действие: Не обезврежено Путь: \PROC\CMDLINE\2664\powershell.exe 
      Проверку выполнял: найти угроз не удалось.
×
×
  • Создать...