better_call_saul

[skbterran]

Добрый день, помогите дешифровать файлы. Шифровальщик был получен по почте, естественно открыли прикрепленный файл к письму. После чего все файлы за шифровались. Шаблон имен [произвольное кол-во символов].[better_call_saul]

CollectionLog-2016.04.19-15.34.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - попробуйте удалить нежелательное ПО:

爱奇艺影音 []-->C:\Program Files\IQIYI Video\Common\QyUninstaller.exe

 

Далее:

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[skbterran]

Отчет AdwCleaner (by Xplode)

 

AdwCleanerS1.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки отметьте дополнительно:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[skbterran]

Здравствуйте,  файл прикрепил

AdwCleanerC1.txt

Shortcut.txt

Addition.txt

FRST.txt

Изменено 20 апреля, 2016 пользователем skbterran

[Анатолий Сергиенко]

Всем доброго времени суток! Вот тоже попался на этот better_call_saul помогите расшифровать пожалуйста

Addition.txt

FRST.txt

AdwCleanerS1.txt

[Sandor]

@Анатолий Сергиенко, создайте собственную тему и выполните Порядок оформления запроса о помощи.

 

@skbterran, рекомендации для Вас:

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR Extension: (No Name) - C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-05-28]
2016-04-19 12:52 - 2016-04-19 12:52 - 03932214 _____ C:\Documents and Settings\User\Application Data\E5D05756E5D05756.bmp
2016-04-19 12:52 - 2016-04-19 12:52 - 00002716 _____ C:\Documents and Settings\User\Рабочий стол\README9.txt
2016-04-19 12:52 - 2016-04-19 12:52 - 00002716 _____ C:\Documents and Settings\User\Рабочий стол\README8.txt
2016-04-19 12:52 - 2016-04-19 12:52 - 00002716 _____ C:\Documents and Settings\User\Рабочий стол\README7.txt
2016-04-19 12:52 - 2016-04-19 12:52 - 00002716 _____ C:\Documents and Settings\User\Рабочий стол\README6.txt
2016-04-19 12:52 - 2016-04-19 12:52 - 00002716 _____ C:\Documents and Settings\User\Рабочий стол\README5.txt
2016-04-19 12:52 - 2016-04-19 12:52 - 00002716 _____ C:\Documents and Settings\User\Рабочий стол\README4.txt
2016-04-19 12:52 - 2016-04-19 12:52 - 00002716 _____ C:\Documents and Settings\User\Рабочий стол\README3.txt
2016-04-19 12:52 - 2016-04-19 12:52 - 00002716 _____ C:\Documents and Settings\User\Рабочий стол\README2.txt
2016-04-19 12:52 - 2016-04-19 12:52 - 00002716 _____ C:\Documents and Settings\User\Рабочий стол\README10.txt
2016-04-19 12:52 - 2016-04-19 12:52 - 00002716 _____ C:\Documents and Settings\User\Рабочий стол\README1.txt
2016-04-19 12:52 - 2016-04-19 12:52 - 00002716 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2016-04-19 12:52 - 2016-04-19 12:52 - 00002716 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2016-04-19 12:52 - 2016-04-19 12:52 - 00002716 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2016-04-19 12:52 - 2016-04-19 12:52 - 00002716 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2016-04-19 12:52 - 2016-04-19 12:52 - 00002716 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2016-04-19 12:52 - 2016-04-19 12:52 - 00002716 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2016-04-19 12:52 - 2016-04-19 12:52 - 00002716 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2016-04-19 12:52 - 2016-04-19 12:52 - 00002716 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2016-04-19 12:52 - 2016-04-19 12:52 - 00002716 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2016-04-19 12:52 - 2016-04-19 12:52 - 00002716 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2016-04-19 10:32 - 2016-04-19 10:32 - 00002716 _____ C:\README9.txt
2016-04-19 10:32 - 2016-04-19 10:32 - 00002716 _____ C:\README8.txt
2016-04-19 10:32 - 2016-04-19 10:32 - 00002716 _____ C:\README7.txt
2016-04-19 10:32 - 2016-04-19 10:32 - 00002716 _____ C:\README6.txt
2016-04-19 10:32 - 2016-04-19 10:32 - 00002716 _____ C:\README5.txt
2016-04-19 10:32 - 2016-04-19 10:32 - 00002716 _____ C:\README4.txt
2016-04-19 10:32 - 2016-04-19 10:32 - 00002716 _____ C:\README3.txt
2016-04-19 10:32 - 2016-04-19 10:32 - 00002716 _____ C:\README2.txt
2016-04-19 10:32 - 2016-04-19 10:32 - 00002716 _____ C:\README10.txt
2016-04-19 10:32 - 2016-04-19 10:32 - 00002716 _____ C:\README1.txt
2016-04-19 10:31 - 2016-04-19 16:59 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
C:\Documents and Settings\User\Local Settings\Temp\88F5F173.exe
C:\Documents and Settings\User\Local Settings\Temp\AmigoDistrib.exe
C:\Documents and Settings\User\Local Settings\Temp\dogovor-kupli-prodazhi-avtomobilya-obrazec_.exe
C:\Documents and Settings\User\Local Settings\Temp\FP_PL_PFS_INSTALLER_32bit.exe
C:\Documents and Settings\User\Local Settings\Temp\hpcdmc32.dll
C:\Documents and Settings\User\Local Settings\Temp\hppapr04.dll
C:\Documents and Settings\User\Local Settings\Temp\hppdvq01.dll
C:\Documents and Settings\User\Local Settings\Temp\hpz5r43e.dll
C:\Documents and Settings\User\Local Settings\Temp\hpzev43e.dll
C:\Documents and Settings\User\Local Settings\Temp\hpzls43e.dll
C:\Documents and Settings\User\Local Settings\Temp\hpzpp43e.dll
C:\Documents and Settings\User\Local Settings\Temp\hpzss43e.dll
C:\Documents and Settings\User\Local Settings\Temp\hpzst43e.dll
C:\Documents and Settings\User\Local Settings\Temp\hpzui43e.dll
C:\Documents and Settings\User\Local Settings\Temp\int_tmp_n.exe
C:\Documents and Settings\User\Local Settings\Temp\libeay32.dll
C:\Documents and Settings\User\Local Settings\Temp\mailruhomesearchvbm.exe
C:\Documents and Settings\User\Local Settings\Temp\masauto_runxx.dl.dll
C:\Documents and Settings\User\Local Settings\Temp\masblog_runxx.dl.dll
C:\Documents and Settings\User\Local Settings\Temp\masflag_runxx.dl.dll
C:\Documents and Settings\User\Local Settings\Temp\msvcr120.dll
C:\Documents and Settings\User\Local Settings\Temp\obligors.dll
C:\Documents and Settings\User\Local Settings\Temp\ppstreamsetup_unfix.exe
C:\Documents and Settings\User\Local Settings\Temp\QQPCMgr_Setup.exe
C:\Documents and Settings\User\Local Settings\Temp\QYAgent_runxx.dl.dll
C:\Documents and Settings\User\Local Settings\Temp\spt_tmp_n.exe
C:\Documents and Settings\User\Local Settings\Temp\sqlite3.dll
C:\Documents and Settings\User\Local Settings\Temp\ti64.exe
C:\Documents and Settings\User\Local Settings\Temp\unidrv.dll
C:\Documents and Settings\User\Local Settings\Temp\unidrvui.dll
C:\Documents and Settings\User\Local Settings\Temp\unires.dll
C:\Documents and Settings\User\Local Settings\Temp\_tz.exe
AV: 电脑管家系统防护 (Enabled - Up to date) {9AAC524A-BF34-49b0-91D2-71838CBB8110}
Task: C:\WINDOWS\Tasks\MailRuUpdateTask.job => C:\Documents and Settings\User\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe/schedulerGC:\Documents and Settings\User\Local Settings\Application Data\Mail.Ru
Task: C:\WINDOWS\Tasks\MobProtect.job => C:\Program Files\IQIYI Video\LStyle\MobProtect.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Подробнее читайте в руководстве Как подготовить лог UVS.

[skbterran]

Сделал

Fixlog.txt

B17-141_2016-04-20_11-43-29.7z

[Sandor]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v3.87.2 [http://dsrt.dyndns.org]
  ;Target OS: NTv5.1
  v385c
  BREG
  delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.5.15816.217\QQPCTRAY.EXE
  delall %SystemDrive%\PROGRAM FILES\IQIYI VIDEO\LSTYLE\WINIO.SYS
  delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OOEBKLGPFNBCNPOKAHMDIDGBMLCDEPKM\2.3_0\电脑管家上网防护
  deldir %SystemDrive%\PROGRAM FILES\TENCENT
  deldir %SystemDrive%\PROGRAM FILES\IQIYI VIDEO
  restart
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• Подробнее читайте в этом руководстве.

[skbterran]

Все сделал , что дальше?

[Sandor]

При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.

[skbterran]

Уже сделал, сказали, что пока у них нет ключа для расшифровки. Спасибо за помощь!!!

На данный момент моя система чистая и нет надобности переустановки ОС?

[Sandor]

Да, система в порядке, переустановка не требуется.