Перейти к содержанию

Поймала вирус-шифровальщик better_call_saul


Рекомендуемые сообщения

Здравствуйте. Ко мне на почту пришел  счет на оплату. А так как я работаю бухгалтером, то машинально открыла его. В итоге, все файлы вордовские и эксельные стали с расширением better_call_saul. Я на грани инфаркта, помогите пожалуйста вернуть всю документацию. Касперский последняя версия

KL_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

С 1 апреля стало быть.

 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 7

IObit Uninstaller

SpyHunter

Surfing Protection

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехplоrеr.lnk', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk', '');
 QuarantineFile('C:\Users\Пользователь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BSS Internet Client\ВТБ 24.Вход в ВSS Интернет-Клиент.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BSS Internet Client\ТрансКредитБанк.Вход в ВSS Интернет-Клиент.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\I.R.I.S.  Applications\Readiris Pro 10\i.r.i.s. оn thе intеrnеt.lnk', '');
 QuarantineFile('C:\iexplore.bat', '');
 QuarantineFile('C:\Program Files\Google\chrome.bat', '');
 DeleteFile('C:\iexplore.bat', '');
 DeleteFile('C:\Program Files\Google\chrome.bat', '');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(2);
 ExecuteRepair(4);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Затем:

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве. Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Re: Отчет AVZ [KLAN-4025432829]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

ВТБ 24.Вход в ВSS Интернет-Клиент.lnk,
ТрансКредитБанк.Вход в ВSS Интернет-Клиент.lnk,
i.r.i.s. оn thе intеrnеt.lnk

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700   http://www.kaspersky.ruhttp://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.    

ВТБ 24.Вход в ВSS Интернет-Клиент.lnk,
ТрансКредитБанк.Вход в ВSS Интернет-Клиент.lnk,
i.r.i.s. оn thе intеrnеt.lnk

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700   http://www.kaspersky.comhttp://www.viruslist.com"


--------------------------------------------------------------------------------
From: 
Sent: 4/1/2016 9:09:33 AM
To: newvirus@kaspersky.com
Subject: Отчет AVZ
 
 
Сообщение от модератора
Почта пользователя удалена
Изменено пользователем mike 1
Почта пользователя удалена
Ссылка на комментарий
Поделиться на другие сайты

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению

Это тоже, пожалуйста.

 

Далее:

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

Затем:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-3756295576-3400845172-2419806886-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-3756295576-3400845172-2419806886-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
S4 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [2282272 2014-08-19] (IObit)
2016-03-29 09:18 - 2016-03-29 09:18 - 00002712 _____ C:\Users\Пользователь\Desktop\README4.txt
2016-03-29 09:17 - 2016-03-29 09:25 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-03-29 09:17 - 2016-03-29 09:25 - 00000000 __SHD C:\ProgramData\Windows
2016-04-01 13:53 - 2014-11-08 09:19 - 00000000 ____D C:\Program Files\IObit
C:\Users\Пользователь\AppData\Local\Temp\ACLMInstaller.exe
C:\Users\Пользователь\AppData\Local\Temp\jre-8u66-windows-au.exe
C:\Users\Пользователь\AppData\Local\Temp\jre-8u71-windows-au.exe
C:\Users\Пользователь\AppData\Local\Temp\libeay32.dll
C:\Users\Пользователь\AppData\Local\Temp\msvcr120.dll
C:\Users\Пользователь\AppData\Local\Temp\sqlite3.dll
C:\Users\Пользователь\AppData\Local\Temp\uninstall-1.exe
C:\Users\Пользователь\AppData\Local\Temp\_is7C8E.exe
Task: {82826E71-09E0-47A2-BFAD-EF2C6BCB62D2} - \LaunchSignup -> No File <==== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • Gagik
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • LeraB
      От LeraB
      Приветствую.
      Поймали шифровальщика, который работает до сих.
      Ничего не переустанавливали и не трогали, проверяем только доступность компьютеров, их работу и ищем, где он еще может работать. Если понятно, что шифровальщик еще где-то работает, то отключаем этот сервер/компьютер.
      Все, что можно спасти, копируем.
      Пострадала почти вся сеть, не только лок.пк и сервера, но и NAS (именно smb)
      Шифровальщик затронул большинство нужных файлов, но не все.
      Логи собрали с одного сервера, примеры файлов с него же.
      Файл шифровальщика пока найти не удалось, как и выяснить все остальное, кроме того, как оно работает с ночи примерно с 00:00 12.12.2024
      FRST.txt Addition.txt архив.zip
    • Алексей Андронов
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
×
×
  • Создать...