Поймала вирус-шифровальщик better_call_saul

[Simak67]

Здравствуйте. Ко мне на почту пришел  счет на оплату. А так как я работаю бухгалтером, то машинально открыла его. В итоге, все файлы вордовские и эксельные стали с расширением better_call_saul. Я на грани инфаркта, помогите пожалуйста вернуть всю документацию. Касперский последняя версия

KL_syscure.zip

[mike 1]

С 1 апреля стало быть.

 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Изменено 1 апреля, 2016 пользователем mike 1

[Simak67]

Да извиняюсь, вот другой архив. И если это важно, на форум я захожу с другого компьютера.

CollectionLog-2016.04.01-10.28.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 7

IObit Uninstaller

SpyHunter

Surfing Protection

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехplоrеr.lnk', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BSS Internet Client\ВТБ 24.Вход в ВSS Интернет-Клиент.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BSS Internet Client\ТрансКредитБанк.Вход в ВSS Интернет-Клиент.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\I.R.I.S.  Applications\Readiris Pro 10\i.r.i.s. оn thе intеrnеt.lnk', '');
 QuarantineFile('C:\iexplore.bat', '');
 QuarantineFile('C:\Program Files\Google\chrome.bat', '');
 DeleteFile('C:\iexplore.bat', '');
 DeleteFile('C:\Program Files\Google\chrome.bat', '');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(2);
 ExecuteRepair(4);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Затем:

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве. Изменено 1 апреля, 2016 пользователем Sandor

[Simak67]

Re: Отчет AVZ [KLAN-4025432829]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

ВТБ 24.Вход в ВSS Интернет-Клиент.lnk,
ТрансКредитБанк.Вход в ВSS Интернет-Клиент.lnk,
i.r.i.s. оn thе intеrnеt.lnk

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700   http://www.kaspersky.ruhttp://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.    

ВТБ 24.Вход в ВSS Интернет-Клиент.lnk,
ТрансКредитБанк.Вход в ВSS Интернет-Клиент.lnk,
i.r.i.s. оn thе intеrnеt.lnk

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700   http://www.kaspersky.comhttp://www.viruslist.com"


--------------------------------------------------------------------------------
From: 
Sent: 4/1/2016 9:09:33 AM
To: newvirus@kaspersky.com
Subject: Отчет AVZ
 

 

Сообщение от модератора

Почта пользователя удалена

Изменено 1 апреля, 2016 пользователем mike 1
Почта пользователя удалена

[Sandor]

Продолжайте.

[Simak67]

AdwCleanerS1.txt

[Sandor]

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению

Это тоже, пожалуйста.

 

Далее:

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки отметьте дополнительно:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

Затем:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Simak67]

AdwCleanerC1.txt

Addition.txtFRST.txtShortcut.txt

[mike 1]

Остальные логи где?

[Simak67]

ClearLNK-01.04.2016_14-40.log

[Simak67]

Какого лога не хватает?

[mike 1]

Ждите Sandor 

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-3756295576-3400845172-2419806886-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-3756295576-3400845172-2419806886-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
S4 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [2282272 2014-08-19] (IObit)
2016-03-29 09:18 - 2016-03-29 09:18 - 00002712 _____ C:\Users\Пользователь\Desktop\README4.txt
2016-03-29 09:17 - 2016-03-29 09:25 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-03-29 09:17 - 2016-03-29 09:25 - 00000000 __SHD C:\ProgramData\Windows
2016-04-01 13:53 - 2014-11-08 09:19 - 00000000 ____D C:\Program Files\IObit
C:\Users\Пользователь\AppData\Local\Temp\ACLMInstaller.exe
C:\Users\Пользователь\AppData\Local\Temp\jre-8u66-windows-au.exe
C:\Users\Пользователь\AppData\Local\Temp\jre-8u71-windows-au.exe
C:\Users\Пользователь\AppData\Local\Temp\libeay32.dll
C:\Users\Пользователь\AppData\Local\Temp\msvcr120.dll
C:\Users\Пользователь\AppData\Local\Temp\sqlite3.dll
C:\Users\Пользователь\AppData\Local\Temp\uninstall-1.exe
C:\Users\Пользователь\AppData\Local\Temp\_is7C8E.exe
Task: {82826E71-09E0-47A2-BFAD-EF2C6BCB62D2} - \LaunchSignup -> No File <==== ATTENTION
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Simak67]

Fixlog.txt