Перейти к содержанию

Чистка и расшифровка better_call_soul

yr13
 Поделиться

Рекомендуемые сообщения

yr13

yr13

Опубликовано
Опубликовано (изменено)

Что произошло: Письмо. Вирус. Шифровка файлов.

 

1) Прилагаю лог AdwCleaner[s1].txt

 

2) После проверки нажал "Очистить" и перезагрузил ПК. Прикрепил отчет AdwCleaner[C1].txt

 

3) Прогнал Farbar Recovery Scan Tool прикрепляю к письму Addition.txt и FRST.txt

 

Помогите пожалуйста с дальнейшими действиями.

 

Спасибо!

AdwCleanerS1.txt

AdwCleanerC1.txt

Addition.txt

FRST.txt

Изменено пользователем yr13
mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

ClearQuarantine;

 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Report');

 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');

ExecuteSysClean;

RebootWindows(true);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 

 

  • Согласен 1
yr13

yr13

Опубликовано
  • Автор
Опубликовано (изменено)

mike 1

 

1) Письмо отправил.

2) Новые логи прикрепил.

 

P.S.:

а) Есть оригинальный файл(ZIP архив) и есть он же зашифрованный. Могу прислать их оба, если это поможет.

б) сам файл из почты(вирус) тоже вероятно можно раздобыть, если опять же это поможет.

CollectionLog-2016.04.14-16.04.zip

Изменено пользователем yr13
mike 1

mike 1

Опубликовано
Опубликовано

 

а) Есть оригинальный файл(ZIP архив) и есть он же зашифрованный. Могу прислать их оба, если это поможет.

б) сам файл из почты(вирус) тоже вероятно можно раздобыть, если опять же это поможет.

не сильно это поможет. Очень поможет база данных с сервера злоумышленников, но об этом можно только мечтать. 

 

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
yr13

yr13

Опубликовано
  • Автор
Опубликовано

mike 1

 

Прикреплял в первом посте, но сделал ещё раз - прикрепил.

 

P.S. У ещё одних знакомых похожая ситуация и они нашли 2 фирмы в Москве и Питере, которые помогают расшифровать, 100%предоплаты + гарантий типа никаких. Фирмы липовые на бабушек оформлены. Одной из них - отправили пару вордовских файлов и они прислали в ответ расшифрованные. То есть, по сути это одни из тех людей, что и рассылают эти письма + у них есть дешифратор с БД.

 

Понимаю что вопрос наивный - но какие прогнозы могут быть в плане написания/создания дешифратора для файлов?


Зарегистрировал инцидент: INC000006078329

FRST.txt

Addition.txt

mike 1

mike 1

Опубликовано
Опубликовано

P.S. У ещё одних знакомых похожая ситуация и они нашли 2 фирмы в Москве и Питере, которые помогают расшифровать, 100%предоплаты + гарантий типа никаких. Фирмы липовые на бабушек оформлены. Одной из них - отправили пару вордовских файлов и они прислали в ответ расшифрованные. То есть, по сути это одни из тех людей, что и рассылают эти письма + у них есть дешифратор с БД.

Ознакомьтесь с этой http://virusinfo.info/showthread.php?t=180742 темой и думаю поймете кто это такие. + Можете оставить свой отзыв. 

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKLM\...\RunOnce: [AVZ] => cmd /c start " " "C:\ANTIVIRUS\AutoLogger\AVZ\avz.exe" Script="C:\ANTIVIRUS\AutoLogger\AVZ\Script2.txt" HiddenMode=0
2016-04-13 22:48 - 2016-04-13 22:48 - 03932214 _____ C:\Documents and Settings\User\Application Data\45E1828845E18288.bmp
2016-04-13 15:59 - 2016-04-14 15:45 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 
yr13

yr13

Опубликовано
  • Автор
Опубликовано (изменено)

mike_1

 

Выполни скрипт - результат прикрепил.

 

Про схему - понятно, спасибо, ещё бы решение найти)

 

Ещё раз вопрос напишу свой:

Понимаю что вопрос наивный - но какие прогнозы могут быть в плане написания/создания дешифратора для файлов?

 

Может на virusinfo подскажете тему именно про better_call_saul - про lockdir.exeтему нашел, но это же не он)

Fixlog.txt

Изменено пользователем yr13
mike 1

mike 1

Опубликовано
Опубликовано

 

 

Может на virusinfo подскажете тему именно про better_call_saul - про lockdir.exeтему нашел, но это же не он)

Именно про этот шифровальщик описания на VI нет.

 

 

Понимаю что вопрос наивный - но какие прогнозы могут быть в плане написания/создания дешифратора для файлов?

 

Каждый случай индивидуален. Здесь нужно запрос в техподдержку писать. Случаи расшифровки файлов были.

 

http://forum.kasperskyclub.ru/index.php?showtopic=48525

  • Согласен 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Никула
      что такое not-a-virus:heur:risktool.script.urban sniffer.gen, имя обьекта 302.js
      Автор Никула
      Здравствуйте,столкнулся с одной проблемой.Я,сижу,работаю за компьютером(28 февраля)и вдруг Касперский присылает сообщение:легальное приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или данным пользователя(степень угроз:низкая).Мне предлагают устранить этот объект,компьютер перезагружается и через 5 минут Касперский опять находит этот скрипт.
       
      Еще он говорит то,что скрипт распрложен в хроме.Я думаю это все из-за расширений(уточню,в edge у меня тоже есть расширения,а это впны)
      Надеюсь то,чтт кто-то поможет разобратся
    • eturrno
      MEM:Trojan.Win32.SEPEH.gen нужна помощь в удалении данного трояна
      Автор eturrno
      была попытка удалить через KVRT(Kaspersky Virus Removal Tool), он троян не нашел. После с помощью uvs latest.zip сделала файл где по идеи должно показываться где он  находиться. хотелось бы чтобы помогли разобраться где зарылся троян и как его удалить, ниже прикреплю его LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z
      LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z 
      license.txt readme.txt
    • drxon004
      Нужна помощь удалить троян Trojan:Win32/Kepavll!rfn
      Автор drxon004
      Где-то подцепил троян Trojan:Win32/Kepavll!rfn. При запуске постоянно вылетает ошибка autoit C:\Programdata\ReaItekHD\taskhost.exe, еще это видимо какой-то скрипт, ибо он не дает заходить на сайты связанные с антивирусом, даже на этом форуме я сейчас пишу через другое устройство, прогнал через Microsoft defender, он его удалить не смог, в затронутых элементах: C:\Programdata\ReaItekHD\taskhost.exe, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck, так же не дает запускать в безопасном режиме (закрывает окно, когда запускаю msconfig), даже и не знаю что делать, пробовал и cureit, он тоже не помог
    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
    • Владхелп
      Подвисание и замедление ноута
      Автор Владхелп
      Во время работы в школе подключил "грязную флешку", на след день заметил сильный перегрев и замедление ноутбука
      CollectionLog-2026.02.14-22.35.zip
×
×
  • Создать...