Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Чистка и расшифровка better_call_soul

yr13
 Поделиться

Рекомендуемые сообщения

yr13

yr13

Опубликовано
Опубликовано (изменено)

Что произошло: Письмо. Вирус. Шифровка файлов.

 

1) Прилагаю лог AdwCleaner[s1].txt

 

2) После проверки нажал "Очистить" и перезагрузил ПК. Прикрепил отчет AdwCleaner[C1].txt

 

3) Прогнал Farbar Recovery Scan Tool прикрепляю к письму Addition.txt и FRST.txt

 

Помогите пожалуйста с дальнейшими действиями.

 

Спасибо!

AdwCleanerS1.txt

AdwCleanerC1.txt

Addition.txt

FRST.txt

Изменено пользователем yr13
mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

ClearQuarantine;

 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Report');

 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');

ExecuteSysClean;

RebootWindows(true);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 

 

  • Согласен 1
yr13

yr13

Опубликовано
  • Автор
Опубликовано (изменено)

mike 1

 

1) Письмо отправил.

2) Новые логи прикрепил.

 

P.S.:

а) Есть оригинальный файл(ZIP архив) и есть он же зашифрованный. Могу прислать их оба, если это поможет.

б) сам файл из почты(вирус) тоже вероятно можно раздобыть, если опять же это поможет.

CollectionLog-2016.04.14-16.04.zip

Изменено пользователем yr13
mike 1

mike 1

Опубликовано
Опубликовано

 

а) Есть оригинальный файл(ZIP архив) и есть он же зашифрованный. Могу прислать их оба, если это поможет.

б) сам файл из почты(вирус) тоже вероятно можно раздобыть, если опять же это поможет.

не сильно это поможет. Очень поможет база данных с сервера злоумышленников, но об этом можно только мечтать. 

 

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
yr13

yr13

Опубликовано
  • Автор
Опубликовано

mike 1

 

Прикреплял в первом посте, но сделал ещё раз - прикрепил.

 

P.S. У ещё одних знакомых похожая ситуация и они нашли 2 фирмы в Москве и Питере, которые помогают расшифровать, 100%предоплаты + гарантий типа никаких. Фирмы липовые на бабушек оформлены. Одной из них - отправили пару вордовских файлов и они прислали в ответ расшифрованные. То есть, по сути это одни из тех людей, что и рассылают эти письма + у них есть дешифратор с БД.

 

Понимаю что вопрос наивный - но какие прогнозы могут быть в плане написания/создания дешифратора для файлов?


Зарегистрировал инцидент: INC000006078329

FRST.txt

Addition.txt

mike 1

mike 1

Опубликовано
Опубликовано

P.S. У ещё одних знакомых похожая ситуация и они нашли 2 фирмы в Москве и Питере, которые помогают расшифровать, 100%предоплаты + гарантий типа никаких. Фирмы липовые на бабушек оформлены. Одной из них - отправили пару вордовских файлов и они прислали в ответ расшифрованные. То есть, по сути это одни из тех людей, что и рассылают эти письма + у них есть дешифратор с БД.

Ознакомьтесь с этой http://virusinfo.info/showthread.php?t=180742 темой и думаю поймете кто это такие. + Можете оставить свой отзыв. 

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKLM\...\RunOnce: [AVZ] => cmd /c start " " "C:\ANTIVIRUS\AutoLogger\AVZ\avz.exe" Script="C:\ANTIVIRUS\AutoLogger\AVZ\Script2.txt" HiddenMode=0
2016-04-13 22:48 - 2016-04-13 22:48 - 03932214 _____ C:\Documents and Settings\User\Application Data\45E1828845E18288.bmp
2016-04-13 15:59 - 2016-04-14 15:45 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 
yr13

yr13

Опубликовано
  • Автор
Опубликовано (изменено)

mike_1

 

Выполни скрипт - результат прикрепил.

 

Про схему - понятно, спасибо, ещё бы решение найти)

 

Ещё раз вопрос напишу свой:

Понимаю что вопрос наивный - но какие прогнозы могут быть в плане написания/создания дешифратора для файлов?

 

Может на virusinfo подскажете тему именно про better_call_saul - про lockdir.exeтему нашел, но это же не он)

Fixlog.txt

Изменено пользователем yr13
mike 1

mike 1

Опубликовано
Опубликовано

 

 

Может на virusinfo подскажете тему именно про better_call_saul - про lockdir.exeтему нашел, но это же не он)

Именно про этот шифровальщик описания на VI нет.

 

 

Понимаю что вопрос наивный - но какие прогнозы могут быть в плане написания/создания дешифратора для файлов?

 

Каждый случай индивидуален. Здесь нужно запрос в техподдержку писать. Случаи расшифровки файлов были.

 

http://forum.kasperskyclub.ru/index.php?showtopic=48525

  • Согласен 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vovans
      xtbl
      Автор vovans
      Здравствуйте! Вирус шифровальщик зашифровал весь домашний фото и видеоархив.Сын удалил все вирусы и переустановил Винду.
      Название вируса не сохранил,не знаю что делать. Может есть какая надежда. Стоит Anti-virus 6.0 1688-000451-1CAB33D7.
      ++ESOAXTI-mH+-uhRET6nBLflYWVIDFR6Q7o9t-sNgI=.56697943D750721BF718.xtbl.zip
    • avanGARd62
      Вирус зашифровал файлы в *XTBL
      Автор avanGARd62
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL. На рабочем столе создалось несколько файлов README, в которых содержится призыв отправить злоумышленникам на e-mail код для получения дальнейших инструкций.
      Прикрепляю лог, полученный при сканировании (согласно инструкции).
       
      Пожалуйста, помогите.
      CollectionLog-2015.08.13-23.13.zip
    • Людмила 84
      Файлы зашифрованы в формат XTBL
      Автор Людмила 84
      Файлы зашифрованы в формат XTBL, нужен,как вернуть их в прежний формат. Проблема появилась после скачивания книги с непонятным форматом. Вкладываю в сообщение файл протоколов (логов) CollectionLog-2015.08.15-11.17.zip. Обнаружен файл txt с текстом: Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 77CF48B1169A0CBE123D|79|2|2 на электронный адрес decodefiles1@gmail.com или decodefiles@india.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 77CF48B1169A0CBE123D|79|2|2 to e-mail address decodefiles1@gmail.com or decodefiles@india.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your dat CollectionLog-2015.08.15-11.17.zip
    • wild_difi
      файлы зашифрованы в *XTBL
      Автор wild_difi
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL.Так же на рабочем столе присутствуют файлы readme с инструкцией отправки кода но почту!Прикрепляю лог, полученный при сканировании (согласно инструкции).
      Помогите
      CollectionLog-2015.08.15-02.47.zip
    • warg24
      Шифровка всех важных файлов компьютера неведомой заразой.
      Автор warg24
      Ребята кто нибудь, помогите. Включил вечером комп. начались проблемы. Сначала не удавалось к сети интернет подключиться, все запрашивал пароль от wi-fi. Потом через некоторое время появилась черная заставка с неприятным текстом от том что все файлы были зашифрованы((( все они теперь с расширением xtbl... Также имеются текстовые файлы с таким вот текстом. 
       
       Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: FAA4417C82D5F25AC88F|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: FAA4417C82D5F25AC88F|0 to e-mail address decode010@gmail.com or decode1110@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.     Что делать? Подскажите!
×
×
  • Создать...