Перейти к содержанию

Чистка и расшифровка better_call_soul

yr13
 Поделиться

Рекомендуемые сообщения

yr13

yr13

Опубликовано
Опубликовано (изменено)

Что произошло: Письмо. Вирус. Шифровка файлов.

 

1) Прилагаю лог AdwCleaner[s1].txt

 

2) После проверки нажал "Очистить" и перезагрузил ПК. Прикрепил отчет AdwCleaner[C1].txt

 

3) Прогнал Farbar Recovery Scan Tool прикрепляю к письму Addition.txt и FRST.txt

 

Помогите пожалуйста с дальнейшими действиями.

 

Спасибо!

AdwCleanerS1.txt

AdwCleanerC1.txt

Addition.txt

FRST.txt

Изменено пользователем yr13
mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

ClearQuarantine;

 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Report');

 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');

ExecuteSysClean;

RebootWindows(true);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 

 

  • Согласен 1
yr13

yr13

Опубликовано
  • Автор
Опубликовано (изменено)

mike 1

 

1) Письмо отправил.

2) Новые логи прикрепил.

 

P.S.:

а) Есть оригинальный файл(ZIP архив) и есть он же зашифрованный. Могу прислать их оба, если это поможет.

б) сам файл из почты(вирус) тоже вероятно можно раздобыть, если опять же это поможет.

CollectionLog-2016.04.14-16.04.zip

Изменено пользователем yr13
mike 1

mike 1

Опубликовано
Опубликовано

 

а) Есть оригинальный файл(ZIP архив) и есть он же зашифрованный. Могу прислать их оба, если это поможет.

б) сам файл из почты(вирус) тоже вероятно можно раздобыть, если опять же это поможет.

не сильно это поможет. Очень поможет база данных с сервера злоумышленников, но об этом можно только мечтать. 

 

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
yr13

yr13

Опубликовано
  • Автор
Опубликовано

mike 1

 

Прикреплял в первом посте, но сделал ещё раз - прикрепил.

 

P.S. У ещё одних знакомых похожая ситуация и они нашли 2 фирмы в Москве и Питере, которые помогают расшифровать, 100%предоплаты + гарантий типа никаких. Фирмы липовые на бабушек оформлены. Одной из них - отправили пару вордовских файлов и они прислали в ответ расшифрованные. То есть, по сути это одни из тех людей, что и рассылают эти письма + у них есть дешифратор с БД.

 

Понимаю что вопрос наивный - но какие прогнозы могут быть в плане написания/создания дешифратора для файлов?


Зарегистрировал инцидент: INC000006078329

FRST.txt

Addition.txt

mike 1

mike 1

Опубликовано
Опубликовано

P.S. У ещё одних знакомых похожая ситуация и они нашли 2 фирмы в Москве и Питере, которые помогают расшифровать, 100%предоплаты + гарантий типа никаких. Фирмы липовые на бабушек оформлены. Одной из них - отправили пару вордовских файлов и они прислали в ответ расшифрованные. То есть, по сути это одни из тех людей, что и рассылают эти письма + у них есть дешифратор с БД.

Ознакомьтесь с этой http://virusinfo.info/showthread.php?t=180742 темой и думаю поймете кто это такие. + Можете оставить свой отзыв. 

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKLM\...\RunOnce: [AVZ] => cmd /c start " " "C:\ANTIVIRUS\AutoLogger\AVZ\avz.exe" Script="C:\ANTIVIRUS\AutoLogger\AVZ\Script2.txt" HiddenMode=0
2016-04-13 22:48 - 2016-04-13 22:48 - 03932214 _____ C:\Documents and Settings\User\Application Data\45E1828845E18288.bmp
2016-04-13 15:59 - 2016-04-14 15:45 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 
yr13

yr13

Опубликовано
  • Автор
Опубликовано (изменено)

mike_1

 

Выполни скрипт - результат прикрепил.

 

Про схему - понятно, спасибо, ещё бы решение найти)

 

Ещё раз вопрос напишу свой:

Понимаю что вопрос наивный - но какие прогнозы могут быть в плане написания/создания дешифратора для файлов?

 

Может на virusinfo подскажете тему именно про better_call_saul - про lockdir.exeтему нашел, но это же не он)

Fixlog.txt

Изменено пользователем yr13
mike 1

mike 1

Опубликовано
Опубликовано

 

 

Может на virusinfo подскажете тему именно про better_call_saul - про lockdir.exeтему нашел, но это же не он)

Именно про этот шифровальщик описания на VI нет.

 

 

Понимаю что вопрос наивный - но какие прогнозы могут быть в плане написания/создания дешифратора для файлов?

 

Каждый случай индивидуален. Здесь нужно запрос в техподдержку писать. Случаи расшифровки файлов были.

 

http://forum.kasperskyclub.ru/index.php?showtopic=48525

  • Согласен 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Swift
      [Сувенир] Щетка для чистки
      Автор Swift
      В данной теме представлен обзор с подробным описанием подарочного сувенира, который можно получить из магазина фан-клуба по бонусной программе, за форумное бета-тестирование, merch и т. п.
      .
      Пожалуйста, не обсуждайте в этой теме другие сувениры.
       
      Набор оснащен чистящим спреем для очистки экрана, щипцами для клавиатуры, выдвижной щеткой для клавиатуры высокой плотности с настоящей тканью из микрофибры для очистки экрана и очков, а также многофункциональной чистящей ручкой для удовлетворения различных потребностей в очистке. Чистящая щетка-ручка легко очищает грязь в динамиках и других частях наушника, силиконовым наконечником способен убрать стойкую грязь в труднодоступных местах, не повреждая компоненты и отверстия продукта. Очиститель экрана и салфетка из микрофибры для электроники деликатно и легко удалят масло и отпечатки пальцев с экрана телефона, планшета, ноутбука, индикатора, телевизора, стекла очков, объектива фотоаппарата.
       
      • Комплектация: щётка для чистки
      клавиатуры, кольцо для снятия
      клавиш, щётка для чистки наушников,
      перо для чистки наушников и чехла,
      флок губка для влажной чистки
      дисплея, ёмкость для чистящего
      средства
      • Материал: пластик
      • Цвет: белый, зелёный
      • Размер: 122х43х30мм
       



    • Kataomi_3232
      Фпс в Dota 2 после чистки от вирусов.
      Автор Kataomi_3232
      Здравствуйте, в этой теме мне помогли удалить вирусы с пк и снести рекламное расширение из браузеров хром и egde. Все работает хорошо, но я заметил одну странность в игре Dota 2. Ранее фпс не проседал даже в тяжелых битвах (с кучей визуала от вещей) ниже 170-180 фпс, теперь же фпс очень часто проседает до отметки в 110-120, причем в самый стандартных драках. Была даже ситуация когда я один герой в огромном радиусе и фпс упал до 70 (причем не на секунду, а держался так сек 15) Человек который помогал в той теме сказал обратиться в этот раздел.
      Заранее спасибо за помощь.
    • Tappa
      Петя расшифровка
      Автор Tappa
      Помогите расшифровать ключ 

    • slavel94
      Расшифровка kwx8
      Автор slavel94
      Здравствуйте! Словил шифроватор Mimik, в итоге файлы зашифровались с расширением kwx8. Помогите, пожалуйста
      report_2025.03.23_17.06.42.klr.rar
    • Hendehog
      Расшифровка Отчета
      Автор Hendehog
      Добрый день.
      Коллеги можете расшифровать, что это за вирус, какого типа, и как он мог проникнуть в систему?
      У нас через него пытались крупную сумму через банк увести, в этот момент пользователю на экране показывали якобы обновление винды идет...))
      Файл KVRT DATA приложить полный не могу, если надо загружу на яндекс диск.
      Спасибо.
      Reports.rar
×
×
  • Создать...