Перейти к содержанию

очередное проявление better_call_saul


Рекомендуемые сообщения

Здравствуйте!

 

Несмотря на установленный антивирус Касперского с актуальными базами после просмотра письма были зашифрованы файлы шифровальщиком better_call_saul.

Надеюсь на вашу помощь в расшифровке. Заранее спасибо!

Прикрепленные файлы

CollectionLog-2016.04.05-15.12.zipreport1.logreport2.log

Ссылка на комментарий
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 



begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 QuarantineFile('C:\Documents and Settings\Ольга Вячеславовна\Local Settings\Application Data\Osics\hqkdicqk.dll','');
 QuarantineFile('C:\Documents and Settings\Ольга Вячеславовна\Local Settings\Application Data\Owfics\F57C2D23.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');
 TerminateProcessByName('c:\docume~1\5e7c~1\locals~1\temp\f57c2d23.exe');
 QuarantineFile('c:\docume~1\5e7c~1\locals~1\temp\f57c2d23.exe','');
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe','');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe','32');
 DeleteFile('c:\docume~1\5e7c~1\locals~1\temp\f57c2d23.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Owfics');
 DeleteFile('C:\Documents and Settings\Ольга Вячеславовна\Local Settings\Application Data\Owfics\F57C2D23.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Osics');
 DeleteFile('C:\Documents and Settings\Ольга Вячеславовна\Local Settings\Application Data\Osics\hqkdicqk.dll','32');
ExecuteSysClean;
RebootWindows(true);
end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 



begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 

 

Ссылка на комментарий
Поделиться на другие сайты

Карантин отправляли?

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

Повторно карантин

 

Сообщение от модератора Mark D. Pearlstone
Не прикрепляйте quarantine.zip на форум. Файл удалён.

Файл карантин отправлен по почте по адресу mike1@avp.su от multivac

Ссылка на комментарий
Поделиться на другие сайты


Антивирус Касперского 6.0 для Windows Workstations (HKLM\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1424 - Лаборатория Касперского)

 


Антивирус уже давно снят с поддержки. К нему и базы уже не выпускают. Обновляйтесь до KES 10! Переход на новую версию бесплатный.
 
 
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
2016-04-05 14:39 - 2016-04-05 16:04 - 00000000 ____D C:\Documents and Settings\Ольга Вячеславовна\Local Settings\Application Data\Osics
2016-04-05 14:38 - 2016-04-05 16:04 - 00000000 ____D C:\Documents and Settings\Ольга Вячеславовна\Local Settings\Application Data\Owfics
2016-04-05 10:17 - 2016-04-05 10:17 - 03686454 _____ C:\Documents and Settings\Ольга Вячеславовна\Application Data\49D0698349D06983.bmp
2016-04-04 17:56 - 2016-04-05 16:04 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • xx3l
      От xx3l
      Есть шансы порасшифровать?
       
      1. Явно подключались по RDP в процессе
      2. Почистили журналы Windows
      3. Что нехарактерно - часть файлов по маске .txt не зашифровали
      4. Ключ явно зависит от имени файла, но не от пути (есть 2 идентичных файла, в разных папках, с одинаковым шифртекстом)
      5. Явное шифрование блочным шифром.
      Encoded Samples.zip FRST.zip message.zip
    • BurundukTat
      От BurundukTat
      Добрый день. Опять словил майнера, на этот раз не дает ничего сделать (открыть ваш сайт, выключает браузер если искать «как удалить майнера»).
      помогите, пожалуйста💙 
      CollectionLog-2024.01.13-09.32.zip
    • KL FC Bot
      От KL FC Bot
      Согласитесь, приятно зарабатывать деньги, не выходя из дома? За время пандемии (кто-то еще помнит, что это такое?) технологии удаленной работы достигли небывалой популярности. А где популярность — там и мошенники. И на сегодняшний день львиная доля «заработков в Интернете» — мошеннические схемы, на которых вы не только не озолотитесь, но и бесплатно поработаете на мошенников и потеряете свои кровные сбережения. О многих схемах обмана, которые позволяют их участникам якобы заработать в Интернете, мы уже писали — деньги обещают и за просмотр видеороликов, и в качестве компенсации за утечки данных, и за возврат НДС, и, наконец, просто за везение. Недавно мы обнаружили еще одну схему обмана, выглядящую очень похоже на реальную удаленную работу.
      Слушай внимательно…
      Мошенники предлагают потенциальным жертвам «выполнять работу, которая не под силу компьютеру, — распознавать аудиофайлы и получать за это деньги». И впрямь, транскрибация — расшифровка аудиозаписей, в том числе публичных выступлений, семинаров, судебных заседаний, интервью, лекций, особенно на русском языке, — пока что плохо поддается компьютерным алгоритмам, а востребована изрядно.

      Злоумышленники создали сразу несколько ресурсов с идентичным дизайном и контактами для связи, но разными названиями.

       
      View the full article
×
×
  • Создать...