Перейти к содержанию

Вирус Better Call Saul

Mikhail Krotov
 Поделиться

Рекомендуемые сообщения

Mikhail Krotov

Mikhail Krotov

Опубликовано
Опубликовано

добрый день.

 

на зашифрованном компе выполнил два скрипта.

запрос отправил на newvirus@kaspersky.com

 

KLAN-4113747594

 

в ответном письме:

 

quarantine.zip

Вредоносный код в файле не обнаружен.

 

вчера сразу после заражения почистил комп пару раз

Dr.Web CureIt!

 

Очень важно попробовать расшифровать файлы. Комп сотрудника организации.

содержит важную информацию, которая зашифрована.

 

бэкап, к сожалению, содержит не самые свежие данные ((

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

Чужие скрипты нельзя выполнять. Вы можете повредить себе систему этими действиями.

 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Ссылка на комментарий
Поделиться на другие сайты
Mikhail Krotov

Mikhail Krotov

Опубликовано
  • Автор
Опубликовано

Чужие скрипты нельзя выполнять. Вы можете повредить себе систему этими действиями.

 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

 

спасибо.

 

файл отчета прикладываю.

CollectionLog-2016.04.19-14.35.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\Ofzfics\ltdevTask.dll','');
 QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\Etqtion\ltdevTask.dll','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Etqtion');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Etqtion\ltdevTask.dll','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ATFworks');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Ofzfics\ltdevTask.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','CDBurn');
 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"
 
 
Сделайте новые логи Автологгером. 
 
 

  • Загрузите GMER по одной из указанных ссылок:
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  • Временно отключите драйверы эмуляторов дисков.
  • Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  • Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
  • После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
 
  • Sections
  • IAT/EAT
  • Show all
  • Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  • Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  • После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

 

Ссылка на комментарий
Поделиться на другие сайты
Mikhail Krotov

Mikhail Krotov

Опубликовано
  • Автор
Опубликовано

несколько часов шла проверка GMER.

отчет во вложении.

письмо так же отправил.

 

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\Ofzfics\ltdevTask.dll','');
 QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\Etqtion\ltdevTask.dll','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Etqtion');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Etqtion\ltdevTask.dll','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ATFworks');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Ofzfics\ltdevTask.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','CDBurn');
 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"
 
 
Сделайте новые логи Автологгером. 
 
 

  • Загрузите GMER по одной из указанных ссылок:
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  • Временно отключите драйверы эмуляторов дисков.
  • Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  • Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
  • После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
 
  • Sections
  • IAT/EAT
  • Show all
  • Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  • Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  • После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

 

 

save log.log

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится hwd1pyx2.exe случайное имя утилиты (gmer)




hwd1pyx2.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xadulu"

hwd1pyx2.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vfpkhjp"

hwd1pyx2.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xadulu"

hwd1pyx2.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vfpkhjp"

hwd1pyx2.exe -reboot


И запустите сохранённый пакетный файл cleanup.bat.

 

Внимание: Компьютер перезагрузится!

 

Сделайте новый лог gmer.

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

NETSVC: xadulu -> no filepath.

NETSVC: vfpkhjp -> no filepath.

2016-04-18 13:36 - 2016-04-19 16:48 - 00000000 ____D C:\Documents and Settings\User\Local Settings\Application Data\Etqtion

2016-04-18 13:35 - 2016-04-19 16:48 - 00000000 ____D C:\Documents and Settings\User\Local Settings\Application Data\Ofzfics

2016-04-18 13:35 - 2016-04-18 13:35 - 03148854 _____ C:\Documents and Settings\User\Application Data\86BDDEAE86BDDEAE.bmp

2016-04-14 12:45 - 2016-04-18 17:52 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows

StandardProfile\GloballyOpenPorts: [5586:TCP] => Enabled:abitp

zip:C:\FRST\Quarantine



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты
Mikhail Krotov

Mikhail Krotov

Опубликовано
  • Автор
Опубликовано

Fixlog.txt во вложении.

 

архив отправил:

 

Результат загрузки Файл сохранён как 160420_172400_Upload_57179100d2e40.zip Размер файла 243934 MD5 5470b5fc8e45c150d8922ef88961daf1 Файл закачан, спасибо!

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Mikhail Krotov

Mikhail Krotov

Опубликовано
  • Автор
Опубликовано

Лицензия на Антивирус Касперского у Вас есть?

на зашифрованном компе ничего, к сожалению, не стояло. Будем ставить. Поставим и оплатим Касперского, если это как-то повлияет на расшифровку )

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • farguskz
      вирус
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
    • Anton3456
      [РЕШЕНО] появился вирус
      Автор Anton3456
      CollectionLog-2025.08.02-22.40.zip
       
    • LexaSLX
      Вирус-шифровальщик, вымогатель
      Автор LexaSLX
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том М (Зарезервировано системой) , на нем один файл HELP.txt, с координатами вымогателя. Так же этот файл появился во всех папках. Система грузится, но все файлы (1C, Office, html и др.) зашифрованы. На рабочем столе висит картинка с надписью: "We encrypted adn stolen all of your files. Open HELP.txt and follow the instructions to recover your files." . Нужна помощь в расшифровки.  В приложении результат сканирования FRST, а также оригиналы документов и их зашифрованные версииFRST.txt
      Addition.txt ориг и шифр.zip
      HELP.txt
    • alexansh
      Если вирус был на андроиде UDS:Trojan.AndroidOS.Piom.bngd
      Автор alexansh
      На смартфоне
      Версия Android 9 PPR1.180610.011
      Проверял антивирусом
      Kaspersky Free 
      Версия 11.124.4.14286
      Вирус: UDS:Trojan.AndroidOS.Piom.bngd
      -----------------------------------------------
      Если на смартфоне при открытии приложения "Сбербанк" появилось сообщение, что обнаружен вирус "UDS:Trojan.AndroidOS.Piom.bngd" 
      и при этом давалась возможность удалить этот вирус, что я и сделал (удалил его).
      В тех.поддержке Сбербанка мне сказали, что этот вирус был в прошивке смартфона, и что теперь уже он удалён модулем Касперского.
      Также сказали, что какие могут быть последствия от этого вируса, они не знают.
      Рекомендовали обратиться в Лабораторию Касперского.
      После этого на смартфоне иногда возникали торможения - черный экран во время работы на некоторое время и черный экран при перезагрузке на некоторое время.
      Кнопками можно было вывести смартфон в нормальное состояние. Но в основном смартфон работает нормально.
      **********************************************************************************************************************************
      Хотел узнать, что это за троян, что он делает, какие возможные последствия и как его можно побороть ?
      И лечится ли он антивирусом, если находится в прошивке ? (ведь при входе в приложение Сбербанк вирус был удален из прошивки).
      И как "очистить" прошивку, чтобы быть уверенным, что там всё в порядке ?
      И как избавиться от последствий этого трояна ?

    • Eugenij_
      Вирус в оперативке видеокарты
      Автор Eugenij_
      Здравствуйте. Сегодня поймал удивительного вируса. Купил видеокарту недорого. На Озоне. Говорят, на витрине стояла. 1070. Воткнул. Начал ставить драйвера. Смотрю. У меня архивчик на рабочем столе сам мелькнул. И пропал. Я, естественно, шнур интернета выдернул. И перезагузился в линукс. И начал наблюдать удивительную картину, как у меня в папку загрузки сыплется софт. Я его удаляю, а он снова летит. Там даже сервер под винду падал. Денвер. Драйвера на мою материнку...  Касперский ни звука. Ладно, гружу винду в безопасном режиме. Лезу в службы и обнруживаю драйвер Рам диска. И отключить зараза не даёт. Отдавать не хочу. Интересно сбороть. Тут, наверное, только биос шить? К сожалению это было уже ночью. Не было сил нормально понаблюдать. Пока компьютер не включал. 
×
×
  • Создать...