Перейти к содержанию

шифрованные файлы better_call_saul


Рекомендуемые сообщения

Вообщем принесли комп. Все шифрованно. 

 

Логи прикрепил

 

 

AdwCleanerS1.txt

ClearLNK-11.04.2016_17-07.log

CollectionLog-2016.04.11-17.23.zip

Изменено пользователем Руслан Амиров
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Рекомендации пишутся индивидуально, поэтому незачем собирать все возможные отчеты. Действуйте только по инструкции.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('C:\Users\user\AppData\Local\YSPack', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Users\user\AppData\Local\YSPack\HandlerHelpweb.dll','');
 DeleteFile('C:\Users\user\AppData\Local\YSPack\HandlerHelpweb.dll','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YSPack');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам.

Ссылка на комментарий
Поделиться на другие сайты

KLAN-4067628339

 

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

HandlerHelpweb.dll

An unknown file has been received. It will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.com http://www.viruslist.com"

CollectionLog-2016.04.11-18.23.zip

Изменено пользователем Руслан Амиров
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteRepair(8);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2016-04-01 17:45 - 2016-04-11 17:42 - 00000000 ____D C:\Users\user\AppData\Local\YSPack
2016-04-01 17:45 - 2016-04-05 15:00 - 00000000 ____D C:\Users\user\AppData\Local\Ihbsoft
2016-04-01 17:45 - 2016-04-01 17:45 - 03888054 _____ C:\Users\user\AppData\Roaming\092207C2092207C2.bmp
2016-04-01 17:44 - 2016-04-01 17:44 - 00001320 _____ C:\Users\user\Desktop\README9.txt
2016-04-01 17:44 - 2016-04-01 17:44 - 00001320 _____ C:\Users\user\Desktop\README8.txt
2016-04-01 17:44 - 2016-04-01 17:44 - 00001320 _____ C:\Users\user\Desktop\README7.txt
2016-04-01 17:44 - 2016-04-01 17:44 - 00001320 _____ C:\Users\user\Desktop\README6.txt
2016-04-01 17:44 - 2016-04-01 17:44 - 00001320 _____ C:\Users\user\Desktop\README5.txt
2016-04-01 17:44 - 2016-04-01 17:44 - 00001320 _____ C:\Users\user\Desktop\README4.txt
2016-04-01 17:44 - 2016-04-01 17:44 - 00001320 _____ C:\Users\user\Desktop\README3.txt
2016-04-01 17:44 - 2016-04-01 17:44 - 00001320 _____ C:\Users\user\Desktop\README2.txt
2016-04-01 17:44 - 2016-04-01 17:44 - 00001320 _____ C:\Users\user\Desktop\README10.txt
2016-04-01 17:44 - 2016-04-01 17:44 - 00001320 _____ C:\Users\user\Desktop\README1.txt
2016-04-01 17:44 - 2016-04-01 17:44 - 00001320 _____ C:\Users\Public\Desktop\README9.txt
2016-04-01 17:44 - 2016-04-01 17:44 - 00001320 _____ C:\Users\Public\Desktop\README8.txt
2016-04-01 17:44 - 2016-04-01 17:44 - 00001320 _____ C:\Users\Public\Desktop\README7.txt
2016-04-01 17:44 - 2016-04-01 17:44 - 00001320 _____ C:\Users\Public\Desktop\README6.txt
2016-04-01 17:44 - 2016-04-01 17:44 - 00001320 _____ C:\Users\Public\Desktop\README5.txt
2016-04-01 17:44 - 2016-04-01 17:44 - 00001320 _____ C:\Users\Public\Desktop\README4.txt
2016-04-01 17:44 - 2016-04-01 17:44 - 00001320 _____ C:\Users\Public\Desktop\README3.txt
2016-04-01 17:44 - 2016-04-01 17:44 - 00001320 _____ C:\Users\Public\Desktop\README2.txt
2016-04-01 17:44 - 2016-04-01 17:44 - 00001320 _____ C:\Users\Public\Desktop\README10.txt
2016-04-01 17:44 - 2016-04-01 17:44 - 00001320 _____ C:\Users\Public\Desktop\README1.txt
2016-04-01 17:06 - 2016-04-04 10:09 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-04-01 17:06 - 2016-04-04 10:09 - 00000000 __SHD C:\ProgramData\Windows
2016-04-01 17:06 - 2016-04-01 17:06 - 00001320 _____ C:\README9.txt
2016-04-01 17:06 - 2016-04-01 17:06 - 00001320 _____ C:\README8.txt
2016-04-01 17:06 - 2016-04-01 17:06 - 00001320 _____ C:\README7.txt
2016-04-01 17:06 - 2016-04-01 17:06 - 00001320 _____ C:\README6.txt
2016-04-01 17:06 - 2016-04-01 17:06 - 00001320 _____ C:\README5.txt
2016-04-01 17:06 - 2016-04-01 17:06 - 00001320 _____ C:\README4.txt
2016-04-01 17:06 - 2016-04-01 17:06 - 00001320 _____ C:\README3.txt
2016-04-01 17:06 - 2016-04-01 17:06 - 00001320 _____ C:\README2.txt
2016-04-01 17:06 - 2016-04-01 17:06 - 00001320 _____ C:\README10.txt
2016-04-01 17:06 - 2016-04-01 17:06 - 00001320 _____ C:\README1.txt
C:\Users\user\AppData\Local\Temp\_isCD1D.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Alex2088
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • skyinfire
      От skyinfire
      Здравствуйте.
      Столкнулись с тем же шифровальщиком - куча файлов, даже фильмов, переименована в *.Bpant.
      Сканирование Касперским (одноразовым) ничего не находит.
      Порт RDP нестандартный (хотя что мешает сканеру найти этот порт - просто на все стучаться, пока RDP не ответит?)
      А вот пароль непростой, 20 символов, хоть и словами с регистрами.
      Другие компы в сети не заражены, хотя на текущем есть общая папка без пароля.
      В первую очередь хочется понять, как произошло заражение, возможен ли взлом (использование уязвимостей Win Server 2019, давно не обновляли?), чтобы предотвратить такое в будущем.
      Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?
      Bpant_Help.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
×
×
  • Создать...