вирус шифровальщик better_call_saul

[makc-m]

Здравствуйте,

 

на машине был запущен каспер 6.0 для Windows Workstations MP4

пришло письмо, скачали архив, запустили скритп,

как этог доков нет, красные буквы на заставке и куча ридми:

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
6B5E0E9964D48E96E3DD|0
на электронный адрес files2549@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.

 

прогнал авз - чисто

 

логи автологера прикладываю

 

прошу помочь

CollectionLog-2016.04.05-09.16.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe','');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[makc-m]

новые логи и текст письма:

KLAN-4039800425

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

csrss.exe - Trojan-Ransom.Win32.Shade.xl

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"

CollectionLog-2016.04.05-12.34.zip

Изменено 5 апреля, 2016 пользователем makc-m

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[makc-m]

логи FRST.exe

FRST.zip

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Toolbar: HKU\S-1-5-21-3060291316-1124845578-2977391739-1124 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README9.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README8.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README7.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README6.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README5.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README4.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README3.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README2.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README10.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\Kugeyko\Рабочий стол\README1.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2016-04-05 09:06 - 2016-04-05 09:06 - 00001320 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README9.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README8.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README7.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README6.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README5.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README4.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README3.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README2.txt
2016-04-04 14:58 - 2016-04-05 09:03 - 00001320 _____ C:\README10.txt
2016-04-04 14:48 - 2016-04-05 10:57 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[makc-m]

лог-файл

Fixlog.txt

[thyrex]

http://forum.kasperskyclub.ru/index.php?showtopic=48525 пробуйте

Но шансов мало

[makc-m]

велели ждать чуда

 

спасибо

 

З.Ы. ну очень глупый вопрос: как тему закрыть?