Вирус better call saul

18 апреля, 2016

На почту пришло сообщение со счетом от ростелекома, оно было открыто моим товарищем на компьютере. По прошествии двух-трех дней, заметили, что файлы на рабочем столе, в моих документах и прочих папках приобрели расширение *better_call_saul. Файлы readme с указанием номера и почты не были найдены. При прохождении проверки kaspersky virus removal tool было найдено 6 зараженных файлов, которые подверглись лечению. Логи прилагаю. Имеется ли шанс восстановления зашифрованных файлов, после удаления вируса?

CollectionLog-2016.04.18-09.35.zip

Изменено 18 апреля, 2016 пользователем Egorka_m

18 апреля, 2016

Здравствуйте!

Архив поврежден. Переделайте, пожалуйста.

18 апреля, 2016

@Sandor,
Здравствуйте!

Перезалил архив. Попробуйте снова.

18 апреля, 2016

Плохо, когда люди наступают на одни и те же грабли по нескольку раз.

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 DeleteService('RgFltX64');
 DeleteService('RegFltrX64');
 DeleteService('Util App Bud');
 DeleteService('Update App Bud');
 DeleteService('PirritDesktop');
 DeleteFile('C:\Users\днс\AppData\Local\PirritSuggestor\PirritService.exe','32');
 DeleteFile('C:\Program Files (x86)\App Bud\updateAppBud.exe','32');
 DeleteFile('C:\Program Files (x86)\App Bud\bin\utilAppBud.exe','32');
 DeleteFile('C:\Users\днс\AppData\Local\EncondingIndexLog\RegFltrX64.sys','32');
 DeleteFile('C:\Users\днс\AppData\Local\ControlFunctionRemote\RgFltX64.sys','32');
 DeleteFile('C:\Users\днс\AppData\Roaming\VAULT.hta','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\Windows\Tasks\BlockAndSurf Update.job','32');
 DeleteFile('C:\Windows\Tasks\BlockAndSurf_wd.job','32');
 DeleteFile('C:\Windows\Tasks\DSite.job','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\Windows\system32\Tasks\BlockAndSurf Update','64');
 DeleteFile('C:\Windows\system32\Tasks\BlockAndSurf_wd','64');
 DeleteFile('C:\Windows\system32\Tasks\DealPly','64');
 DeleteFile('C:\Windows\system32\Tasks\DealPlyUpdate','64');
 DeleteFile('C:\Windows\system32\Tasks\DSite','64');
ClearHostsFile;
Executerepair(22);
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера.

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

20 апреля, 2016

Логи.

AdwCleanerS1.txt

ClearLNK-20.04.2016_09-54.log

20 апреля, 2016

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

20 апреля, 2016

Лог после чистки adwcleaner

AdwCleanerC1.txt

20 апреля, 2016

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

27 апреля, 2016

FRST

Addition.txt

FRST.txt

27 апреля, 2016

2015-03-10 10:23 - 2015-03-10 10:52 - 0001420 ___RS () C:\Users\днс\AppData\Roaming\VAULT.KEY

2015-03-10 10:23 - 2015-03-10 10:23 - 0055504 _____ () C:\Users\днс\AppData\Roaming\CONFIRMATION.KEY

Вижу что второй раз наступаете на одни и те же грабли. А бэкапы после первого случая научились делать?

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-4049883488-1587124783-3288862869-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: Weatherbar x64 Class -> {B0B85626-F9B4-47C0-9151-FB9A45ABCD37} -> C:\Program Files\tooldev342\Weatherbar\\TracersToolbarBHO_x64.dll [2013-09-20] (Null.ru)
BHO: No Name -> {C14BC956-6392-BDFF-B421-3F3700F8B261} -> No File
OPR Extension: (Dolka.ru) - C:\Users\днс\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc [2014-04-26]
2016-04-11 15:09 - 2016-04-12 10:01 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-04-11 15:09 - 2016-04-12 10:01 - 00000000 __SHD C:\ProgramData\Windows
2015-03-10 10:23 - 2015-03-10 10:52 - 0001420 ___RS () C:\Users\днс\AppData\Roaming\VAULT.KEY
2015-03-10 10:23 - 2015-03-10 10:23 - 0055504 _____ () C:\Users\днс\AppData\Roaming\CONFIRMATION.KEY

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

28 апреля, 2016

fixlog

Fixlog.txt

28 апреля, 2016

Лицензия на антивирус есть?

28 апреля, 2016

Нет, не имеется.

28 апреля, 2016

Тогда больше ничем не поможем.

Вирус better call saul

Рекомендуемые сообщения

Egorka_m

Sandor

Egorka_m

mike 1

Egorka_m

mike 1

Egorka_m

mike 1

Egorka_m

mike 1

Egorka_m

mike 1

Egorka_m

mike 1

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum