Перейти к содержанию

Вирус Better Call Saul

Mikhail Krotov
 Share

Рекомендуемые сообщения

Mikhail Krotov Новичок

Mikhail Krotov

Опубликовано
Опубликовано

добрый день.

 

на зашифрованном компе выполнил два скрипта.

запрос отправил на newvirus@kaspersky.com

 

KLAN-4113747594

 

в ответном письме:

 

quarantine.zip

Вредоносный код в файле не обнаружен.

 

вчера сразу после заражения почистил комп пару раз

Dr.Web CureIt!

 

Очень важно попробовать расшифровать файлы. Комп сотрудника организации.

содержит важную информацию, которая зашифрована.

 

бэкап, к сожалению, содержит не самые свежие данные ((

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Чужие скрипты нельзя выполнять. Вы можете повредить себе систему этими действиями.

 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Ссылка на комментарий
Поделиться на другие сайты
Mikhail Krotov Новичок

Mikhail Krotov

Опубликовано
  • Автор
Опубликовано

Чужие скрипты нельзя выполнять. Вы можете повредить себе систему этими действиями.

 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

 

спасибо.

 

файл отчета прикладываю.

CollectionLog-2016.04.19-14.35.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\Ofzfics\ltdevTask.dll','');
 QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\Etqtion\ltdevTask.dll','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Etqtion');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Etqtion\ltdevTask.dll','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ATFworks');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Ofzfics\ltdevTask.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','CDBurn');
 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"
 
 
Сделайте новые логи Автологгером. 
 
 

  • Загрузите GMER по одной из указанных ссылок:
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  • Временно отключите драйверы эмуляторов дисков.
  • Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  • Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
  • После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
 
  • Sections
  • IAT/EAT
  • Show all
  • Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  • Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  • После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

 

Ссылка на комментарий
Поделиться на другие сайты
Mikhail Krotov Новичок

Mikhail Krotov

Опубликовано
  • Автор
Опубликовано

несколько часов шла проверка GMER.

отчет во вложении.

письмо так же отправил.

 

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\Ofzfics\ltdevTask.dll','');
 QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\Etqtion\ltdevTask.dll','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Etqtion');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Etqtion\ltdevTask.dll','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ATFworks');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Ofzfics\ltdevTask.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','CDBurn');
 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"
 
 
Сделайте новые логи Автологгером. 
 
 

  • Загрузите GMER по одной из указанных ссылок:
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  • Временно отключите драйверы эмуляторов дисков.
  • Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  • Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
  • После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
 
  • Sections
  • IAT/EAT
  • Show all
  • Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  • Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  • После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

 

 

save log.log

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится hwd1pyx2.exe случайное имя утилиты (gmer)




hwd1pyx2.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xadulu"

hwd1pyx2.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vfpkhjp"

hwd1pyx2.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xadulu"

hwd1pyx2.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vfpkhjp"

hwd1pyx2.exe -reboot


И запустите сохранённый пакетный файл cleanup.bat.

 

Внимание: Компьютер перезагрузится!

 

Сделайте новый лог gmer.

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

NETSVC: xadulu -> no filepath.

NETSVC: vfpkhjp -> no filepath.

2016-04-18 13:36 - 2016-04-19 16:48 - 00000000 ____D C:\Documents and Settings\User\Local Settings\Application Data\Etqtion

2016-04-18 13:35 - 2016-04-19 16:48 - 00000000 ____D C:\Documents and Settings\User\Local Settings\Application Data\Ofzfics

2016-04-18 13:35 - 2016-04-18 13:35 - 03148854 _____ C:\Documents and Settings\User\Application Data\86BDDEAE86BDDEAE.bmp

2016-04-14 12:45 - 2016-04-18 17:52 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows

StandardProfile\GloballyOpenPorts: [5586:TCP] => Enabled:abitp

zip:C:\FRST\Quarantine



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты
Mikhail Krotov Новичок

Mikhail Krotov

Опубликовано
  • Автор
Опубликовано

Fixlog.txt во вложении.

 

архив отправил:

 

Результат загрузки Файл сохранён как 160420_172400_Upload_57179100d2e40.zip Размер файла 243934 MD5 5470b5fc8e45c150d8922ef88961daf1 Файл закачан, спасибо!

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Mikhail Krotov Новичок

Mikhail Krotov

Опубликовано
  • Автор
Опубликовано

Лицензия на Антивирус Касперского у Вас есть?

на зашифрованном компе ничего, к сожалению, не стояло. Будем ставить. Поставим и оплатим Касперского, если это как-то повлияет на расшифровку )

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Salieri
      Заразился вирусом
      От Salieri
      Наткнулся на вирус, с файлов игры ( пиратки ) , нужнаCollectionLog-2024.12.16-15.54.zipFRST.txtAddition.txt помощь, система тормозит, производительность упала. Логи ниже
    • 2life
      Вирус HEUR:Trojan.Multi.Powedon.d
      От 2life
      Здравствуйте, Kaspersky Virus Removal Tool находит в памяти HEUR:Trojan.Multi.Powedon.d, процедура лечения с перезагрузкой не помогает.
       
      Заранее спасибо
       
      Прикладываю репорт Kaspersky Virus Removal Tool
      2024.12.08_22.46.43.zip
    • civiero
      Вирус или нет?
      От civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
    • buizilka_sx
      NET:MALWARE.URL нашел вирус
      От buizilka_sx
      Сделал проверку нашелся вирус NET:MALWARE.URL в doctorweb попытался удалить не получилось помогите пожалуйста удалить его 
    • Алексей Брижан
      не находит майнинг вирус
      От Алексей Брижан
      Операционная система    Microsoft Windows 10 Home
      версия программы 21.3.10.391 (m)
      Подхватил вирус майнинг, при фоновом режиме не включая никакие программы температура процессора стала 96 градусов, до этого было 55.
      при открытие диспетчера задач температура падает до 55 градусов при его сворачивании поднимается до 96. делал полную проверку, не нашел ( неоднократно)
      видеокарта работает в штатном режиме.
      термопаста поменяна, процессор i5 12450h, видеокарта gtx 3060, система охлаждения чистая.
      касперский не находит его, когда начинается проверка температура падает до 70 градусов. но после так же поднимается
      вольтаж процессора тоже нормальный.
      могу хоть видео записать, проблема серьезная, переустанавливать винду не могу слишком много документов.
×
×
  • Создать...