Перейти к содержанию
Квест по поездкам на дни рождения клуба
Важная информация для участников клуба

Чистка и расшифровка better_call_soul

yr13
 Share Подписчики 0

Рекомендуемые сообщения

yr13

yr13 0

Опубликовано
Опубликовано (изменено)

Что произошло: Письмо. Вирус. Шифровка файлов.

 

1) Прилагаю лог AdwCleaner[s1].txt

 

2) После проверки нажал "Очистить" и перезагрузил ПК. Прикрепил отчет AdwCleaner[C1].txt

 

3) Прогнал Farbar Recovery Scan Tool прикрепляю к письму Addition.txt и FRST.txt

 

Помогите пожалуйста с дальнейшими действиями.

 

Спасибо!

AdwCleanerS1.txt

AdwCleanerC1.txt

Addition.txt

FRST.txt

Изменено пользователем yr13
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 032

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

ClearQuarantine;

 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Report');

 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');

ExecuteSysClean;

RebootWindows(true);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 

 

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
yr13

yr13 0

Опубликовано
  • Автор
Опубликовано (изменено)

mike 1

 

1) Письмо отправил.

2) Новые логи прикрепил.

 

P.S.:

а) Есть оригинальный файл(ZIP архив) и есть он же зашифрованный. Могу прислать их оба, если это поможет.

б) сам файл из почты(вирус) тоже вероятно можно раздобыть, если опять же это поможет.

CollectionLog-2016.04.14-16.04.zip

Изменено пользователем yr13
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 032

Опубликовано
Опубликовано

 

а) Есть оригинальный файл(ZIP архив) и есть он же зашифрованный. Могу прислать их оба, если это поможет.

б) сам файл из почты(вирус) тоже вероятно можно раздобыть, если опять же это поможет.

не сильно это поможет. Очень поможет база данных с сервера злоумышленников, но об этом можно только мечтать. 

 

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
Ссылка на сообщение
Поделиться на другие сайты
yr13

yr13 0

Опубликовано
  • Автор
Опубликовано

mike 1

 

Прикреплял в первом посте, но сделал ещё раз - прикрепил.

 

P.S. У ещё одних знакомых похожая ситуация и они нашли 2 фирмы в Москве и Питере, которые помогают расшифровать, 100%предоплаты + гарантий типа никаких. Фирмы липовые на бабушек оформлены. Одной из них - отправили пару вордовских файлов и они прислали в ответ расшифрованные. То есть, по сути это одни из тех людей, что и рассылают эти письма + у них есть дешифратор с БД.

 

Понимаю что вопрос наивный - но какие прогнозы могут быть в плане написания/создания дешифратора для файлов?


Зарегистрировал инцидент: INC000006078329

FRST.txt

Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 032

Опубликовано
Опубликовано

P.S. У ещё одних знакомых похожая ситуация и они нашли 2 фирмы в Москве и Питере, которые помогают расшифровать, 100%предоплаты + гарантий типа никаких. Фирмы липовые на бабушек оформлены. Одной из них - отправили пару вордовских файлов и они прислали в ответ расшифрованные. То есть, по сути это одни из тех людей, что и рассылают эти письма + у них есть дешифратор с БД.

Ознакомьтесь с этой http://virusinfo.info/showthread.php?t=180742 темой и думаю поймете кто это такие. + Можете оставить свой отзыв. 

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKLM\...\RunOnce: [AVZ] => cmd /c start " " "C:\ANTIVIRUS\AutoLogger\AVZ\avz.exe" Script="C:\ANTIVIRUS\AutoLogger\AVZ\Script2.txt" HiddenMode=0
2016-04-13 22:48 - 2016-04-13 22:48 - 03932214 _____ C:\Documents and Settings\User\Application Data\45E1828845E18288.bmp
2016-04-13 15:59 - 2016-04-14 15:45 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 
Ссылка на сообщение
Поделиться на другие сайты
yr13

yr13 0

Опубликовано
  • Автор
Опубликовано (изменено)

mike_1

 

Выполни скрипт - результат прикрепил.

 

Про схему - понятно, спасибо, ещё бы решение найти)

 

Ещё раз вопрос напишу свой:

Понимаю что вопрос наивный - но какие прогнозы могут быть в плане написания/создания дешифратора для файлов?

 

Может на virusinfo подскажете тему именно про better_call_saul - про lockdir.exeтему нашел, но это же не он)

Fixlog.txt

Изменено пользователем yr13
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 032

Опубликовано
Опубликовано

 

 

Может на virusinfo подскажете тему именно про better_call_saul - про lockdir.exeтему нашел, но это же не он)

Именно про этот шифровальщик описания на VI нет.

 

 

Понимаю что вопрос наивный - но какие прогнозы могут быть в плане написания/создания дешифратора для файлов?

 

Каждый случай индивидуален. Здесь нужно запрос в техподдержку писать. Случаи расшифровки файлов были.

 

http://forum.kasperskyclub.ru/index.php?showtopic=48525

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Akmv
      Не удаляется NET:MALWARE.URL
      От Akmv
      Добрый вечер. Прошу помощи!

      Изучил "другие темы", та же проблема - не удаляется NET:MALWARE.URL - https://imgur.com/a/aDrVvgh
      Виндос переустановлен сегодня утром (24 июля в 12-00 мск~), но уже откуда-то майнер и эта дрянь...

      Коннектер лог прикрепил.

      По рекомендациям хелперов скачал Farbar Recovery Scan Tool, поставил галочки и на 90 дней сделались два файла, прикрепляю их в архиве.
       
      Что делать дальше -- не понимаю, прошу помощи. Хочется, чтобы компик жил.
      FRST.zip
      CollectionLog-2024.07.24-23.05.zip
    • clenup
      Проверка на вирусы
      От clenup
      Добрый вечер. Хочу проверить Комп на вирусы.
      Kaspersky Virus Removal Tool; Dr.Web CureIt! не чего не нашли.
      CollectionLog-2024.07.17-17.38.zip
    • Averfak
      Помогите пожалуйста!
      От Averfak
      подхватил расширения называются mvpn и adblocker при удалении и перезагрузке они восстанавливаются, помогите а то в этом плане вообще ничего не знаю!😢
    • Skittle
      Вирус грузит ЦП, блочит пуск и поиск
      От Skittle
      Добрый день, помогите пожалуйста с проблемой.
        Новое железо + свежая винда, но был перенесен один из старых SSD с рабочими файлами, форматировать под чистую никак :( И вместе видимо какая-то зараза перенеслась
      При открытом диспетчере все отлично, если закрыть диспетчер и через какое-то время открыть снова то видно как нагрузка ЦП падает с ~50 до 2%. Так же раз через раз после перезагрузки в винде блочится пуск. На другом компе куда старые диски и файлы не переносились та же самая винда чувствует себя прекрасно
        
      CollectionLog-2024.07.16-17.42.zip
    • BSss
      Проблема (?) вирус
      От BSss
      В простое видеокарта загружается до 100, включаются вентиляторы, запускаешь диспетчер задач  - успокаивается.. как бы от этого избавиться? 
×
×
  • Создать...