Перейти к содержанию

Троян- Шифрование файлов better_call_saul

Dionissiytlt
 Поделиться

Рекомендуемые сообщения

Dionissiytlt Новичок

Dionissiytlt

Опубликовано
Опубликовано
Прорвался троян 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
2756B3CA090D7059FBFA|0
на электронный адрес Kudryavtsev.Panfil@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.
Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),
воспользуйтесь резервным адресом. Его можно узнать двумя способами:
1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en
В адресной строке Tor Browser-а введите адрес:
и нажмите Enter. Загрузится страница с резервными email-адресами.
2) В любом браузере перейдите по одному из адресов:

CollectionLog-2016.04.07-18.30.zip

README4.txt

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

 QuarantineFile('C:\Documents and Settings\Бухгалтер\Local Settings\Application Data\Obsgics\31B43C10.exe','');

 TerminateProcessByName('c:\documents and settings\Бухгалтер\local settings\application data\obsgics\31b43c10.exe');

 QuarantineFile('c:\documents and settings\Бухгалтер\local settings\application data\obsgics\31b43c10.exe','');

 DeleteFile('c:\documents and settings\Бухгалтер\local settings\application data\obsgics\31b43c10.exe','32');

 DeleteFile('C:\Documents and Settings\Бухгалтер\Local Settings\Application Data\Obsgics\31B43C10.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Obsgics');

ExecuteSysClean;

RebootWindows(true);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 

 

Ссылка на комментарий
Поделиться на другие сайты
Dionissiytlt Новичок

Dionissiytlt

Опубликовано
  • Автор
Опубликовано (изменено)

Если возможность расшифровать файлы, так как это бухгалтерский компьютер?Так как сам антивирус уже удалил троян.
заранее благодарен.

Изменено пользователем Dionissiytlt
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  •  



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

CHR HKU\S-1-5-21-725345543-261478967-1417001333-1004\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

HKU\S-1-5-21-725345543-261478967-1417001333-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://home.tb.ask.com/index.jhtml?n=77FD35DB&p2=^Y6^xdm067^YYA^ru&ptb=B64CBD01-BFB9-4474-B16F-D2E37ABEBD81&si=swissconverter

SearchScopes: HKLM -> DefaultScope {9a216821-0ec5-49a3-85ac-fb72ae79a1e8} URL = hxxp://search.tb.ask.com/search/GGmain.jhtml?p2=^Y6^xdm067^YYA^ru&si=swissconverter&ptb=B64CBD01-BFB9-4474-B16F-D2E37ABEBD81&ind=2014073006&n=780c50ae&psa=&st=sb&searchfor={searchTerms}

SearchScopes: HKLM -> {9a216821-0ec5-49a3-85ac-fb72ae79a1e8} URL = hxxp://search.tb.ask.com/search/GGmain.jhtml?p2=^Y6^xdm067^YYA^ru&si=swissconverter&ptb=B64CBD01-BFB9-4474-B16F-D2E37ABEBD81&ind=2014073006&n=780c50ae&psa=&st=sb&searchfor={searchTerms}

SearchScopes: HKU\S-1-5-21-725345543-261478967-1417001333-1004 -> {9a216821-0ec5-49a3-85ac-fb72ae79a1e8} URL = hxxp://search.tb.ask.com/search/GGmain.jhtml?p2=^Y6^xdm067^YYA^ru&si=swissconverter&ptb=B64CBD01-BFB9-4474-B16F-D2E37ABEBD81&ind=2014073006&n=780c50ae&psa=&st=sb&searchfor={searchTerms}

2016-04-07 11:28 - 2016-04-08 10:30 - 00000000 ____D C:\Documents and Settings\Бухгалтер\Local Settings\Application Data\Ubkmedia

2016-04-07 11:27 - 2016-04-08 10:30 - 00000000 ____D C:\Documents and Settings\Бухгалтер\Local Settings\Application Data\Obsgics

2016-04-07 11:26 - 2016-04-07 11:26 - 03932214 _____ C:\Documents and Settings\Бухгалтер\Application Data\73835BBA73835BBA.bmp

2016-04-06 14:58 - 2016-04-07 14:41 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows

 zip:C:\FRST\Quarantine



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • user344
      Поймал майнер или троян
      Автор user344
      Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.
      CollectionLog-2025.06.25-21.11.zip
    • sajithebloody
      [РЕШЕНО] Трояны в cohost.exe и explorer.exe
      Автор sajithebloody
      Доброго времени, касперский не может справиться с троянами в этих файлах, лечение с перезагрузкой не помогает. Не нашел детект трояна в отчетах Касперского (но это было в моменте), но нашел упоминание попадания этих файлов в исключение сразу же после установки антивиря - подозрительно. Заранее прикрепляю максимум логов, из аутологгера и uvs. 
      лог к.txt CollectionLog-2025.05.09-02.44.zip DESKTOP-LB93OSN_2025-05-09_03-17-36_v4.99.14v x64.7z
    • DonorRaboti
      [РЕШЕНО] Подозрение на троян Trojan:Win32/Wacatac.B!ml
      Автор DonorRaboti
      Добрый день, по своей глупости скачал файл exe и запустил его после чего на компьютере появились рекламные ярлыки на рабочем столе и как будто часть сайтов с антивирусным по затормозились. Сканировал Dr.Web CureIt и KVRT, но ничего не было найдено того, что ранее не видел. Возможно, видел новый созданный профиль в Windows, подписанный как неизвестный или что-то такое и удалил его. Проверки Антивирусами ничего не выявляли, кроме пары файлов в корзине. Сам компьютер, как мне показалось, иногда подвисал, словно был загружен, но в диспетчере задач, как и в resmon ничего не выявил. На VirusTotal при проверке файла указывало на вредоносное ПО, содержащее Trojan:Win32/Wacatac.B!ml. Также заметил, что не могу попасть на сайт safezone.cc, скачивал автологер через 2 зеркало
      CollectionLog-2025.06.19-02.13.zip
    • Wgis
      Троян HEUR/AGEN.1374183
      Автор Wgis
      Добрый день, поймали такой вирус: https://www.virustotal.com/gui/file/55d05771086c5acc0c6275be9e1366819b5bb941a1bfb85ea4a1721ce6486a85/
       
      Помогите пожалуйста с лечением, вот отчёты FRST:
       
      frst.zip
    • mrolya
      [РЕШЕНО] Не удаляется троян после лечения: HEUR:Trojan.Multi.Powedon.d
      Автор mrolya
      Не удаляется троян HEUR:Trojan.Multi.Powedon.d, касперский находит его, делает лечение и ребутает комп, после ребута запускает сканирование и троян снова появляется, в общем все идет по кругу.
       

      CollectionLog-2025.04.21-11.37.zip
×
×
  • Создать...