Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

better_call_saul

Александр Федосеев

Автор Александр Федосеев
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Александр Федосеев

Александр Федосеев

Опубликовано
Опубликовано
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
475243A4BD59807BFC1E|0
на электронный адрес 1986Frederick.MacAlister@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.
Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),
воспользуйтесь резервным адресом. Его можно узнать двумя способами:
1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en
В адресной строке Tor Browser-а введите адрес:
и нажмите Enter. Загрузится страница с резервными email-адресами.
2) В любом браузере перейдите по одному из адресов:
 
форматы файлов nNwtWKGPZ+SV51esFT8ZUmM4p6eCYZsItzxfoqbvjIak9ftX0dHnTCFD8KmNC2kF.475243A4BD59807BFC1E.better_call_saul
 
просьба в помощи

Avira (no cloud) HTML/ExpKit.Gen2 20160414 Cyren JS/Cerber.A2!Camelot 20160414 DrWeb JS.DownLoader.1271 20160414 ESET-NOD32 JS/TrojanDownloader.Nemucod.RF 20160414 Ikarus Trojan-Downloader.JS.Nemucod 20160414 McAfee JS/Nemucod.gv 20160414 McAfee-GW-Edition JS/Nemucod.gv 20160414 Sophos JS/DwnLdr-NIU 20160414 Tencent Js.Trojan.Raas.Auto 20160414
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Логи сделаны в терминальной сессии, сделайте их из консоли, т.е. непосредственно на компьютере, а не удаленно.

Александр Федосеев

Александр Федосеев

Опубликовано
  • Автор
Опубликовано

к сожалению нет возможности

Sandor

Sandor

Опубликовано
Опубликовано

Увы, как диагноз, так и лечение следует производить именно из консоли.

Александр Федосеев

Александр Федосеев

Опубликовано
  • Автор
Опубликовано

может подскажете как подключиться к RDP в виде консоли?

Sandor

Sandor

Опубликовано
Опубликовано

Никак, только "ногами" сходить к серверу :)

mike 1

mike 1

Опубликовано
Опубликовано
Можно через терминальную сессию сделать лог.

 




  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".


  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.


!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.


  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.


! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".


  •  

 

Sandor

Sandor

Опубликовано
Опубликовано

+

- выполните такой скрипт в AVZ

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\buhkl1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhkl2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\fin1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhsale1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\aaron\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\kl2103\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\kl2107\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhm2122\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhm2123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhm2125\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhprof2151\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhprof2152\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhprof2153\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhprof2154\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhprof2155\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhman2181\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhfree2191\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhfree2192\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\aramais\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhfree2193\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhprof2158\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\администратор.BUHUCHET\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\HR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\buhfree3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\pdfFactory Pro\Просмотреть сохраненные файлы PDF.lnk', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Sandor

Sandor

Опубликовано
Опубликовано

Следующие логи нужны из консоли:

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".
 
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • MOK
      Вирус шифратор c расширением .xtbl
      Автор MOK
      Здравствуйте!
       
      Буквально вчера перестали запускаться программы, ссылаясь на не найденные файлы. Решил проверить целостность, оказались зашифрованы файлы. Попытался сделать откат системы, не помогло.
       
      Файлы имеют вид типа: HyBvVQ0P9WIPpUcXGd6ZIvN9ju3uMvgjZWTAZGsjI3w=.xtbl
      Постоянно появляются новые на рабочем столе. Файл редми прикрепил.
       
      Сделал все по пунктам:
       
      1.Провел проверку ПК Kaspersky Virus Removal Tool 2011. Но скачав последнюю версию 2015 года. Выявило 5 угроз, скинул их в карантин. Не уверен что поможет, но скинул их в текстовый файл.(Прикрепил)
       
      2.Очистил все временные файлы.
       
      3.Проверку выполнил. Лог прикрепил.
       
      Очень надеюсь на Вашу помощь, на компьютере очень много важных фалов. Есть подозрения на скаченную игру,после установки которой, начались все проблемы.
      Найденные вирусы.txt
      README1.txt
      CollectionLog-2015.03.29-13.01.zip
    • kirelmen
      помогите дешифровать
      Автор kirelmen
      ваши файлы были зашифрованы.
      что бы расшифровать их, Вам необходимо отправить код:
      7D0D29B43D4BBC121C59|0 И Т.Д.
    • pirog
      Вирус шифратор xtbl
      Автор pirog
      Фотки зашифровались. Пример  название файла:  2sSn4DPYNQIoBvrM77HuWqUP3K3pMsU14VXu+ag-NvHoG-71ka0tDMkO7IggcXgn.xtbl
       
      Чтобы расшифровать их, Вам необходимо отправить код. на электронный адрес decode00001@gmail.com или decode00002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. CollectionLog-2015.03.28-19.06.zip
    • Lomovkin
      ваши файлы были зашифрованы xtbl
      Автор Lomovkin
      Здравствуйте!
      Помогите пожалуйста
       
      На рабочем столе вместо фонового рисунка на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков (скрин прилагается)
      А все файлы зашифровались в файлы с расширением.xtbl,
      например вот: +1OFFWVStSisrQcMSblxI0KFAPA-m1MsJNiREE1lnrBt65hYjwCIzkV-kv2TgYmc.xtbl
       
      В текстовиках созданных вирусом пишется вот это:
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 05B4392DC0890CA45A85|38|2|12 на электронный адрес decode00001@gmail.com или decode00002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   Произвел все действия указанные в правилах , прикрепляю лог проверки автоматического сборщика логов  
      вот еще полного сканирования МВАМ
      CollectionLog-2015.03.29-19.07.zip
      1.txt
    • Pabloader
      Вирус-шифровальщик!
      Автор Pabloader
      Здравствуйте,
      Суть вируса такова:
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 290371DA3C6AD1752E76|0 на электронный адрес decode00001@gmail.com или decode00002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   Вирус был получен 29.03.2015. Обстоятельства при каких был получен вирус выяснить не удалось. Возможно, был получен при попытке скачать файл с неизвестного сайта, без антивируса.   CollectionLog-2015.03.29-16.15.zip
×
×
  • Создать...