Помогите. Вирус better_call_saul

[macaflen]

Вирус зашифровал файлы. прошу помочь.

Лог прилагаю

CollectionLog-2016.04.21-01.04.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

ClearQuarantine;

 QuarantineFile('C:\Documents and Settings\user\Local Settings\Application Data\Ulcmedia\gwpgycfl.dll','');

 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Drivers\csrss.exe','');

 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');

 QuarantineFile('C:\Documents and Settings\user\Local Settings\Application Data\Amwgworks\74DF3A5C.exe','');

 QuarantineFile('C:\Documents and Settings\user\Local Settings\Application Data\Amwgworks\gwpgycfl.dll','');

 TerminateProcessByName('c:\windows\temp\radaeaae.tmp');

 QuarantineFile('c:\windows\temp\radaeaae.tmp','');

 TerminateProcessByName('c:\windows\temp\rar$exa0.646\phoner\phonerlite.exe');

 QuarantineFile('c:\windows\temp\rar$exa0.646\phoner\phonerlite.exe','');

 TerminateProcessByName('c:\windows\temp\74df3a5c.exe');

 QuarantineFile('c:\windows\temp\74df3a5c.exe','');

 TerminateProcessByName('c:\windows\temp\077daf7c.exe');

 QuarantineFile('c:\windows\temp\077daf7c.exe','');

 DeleteFile('c:\windows\temp\077daf7c.exe','32');

 DeleteFile('c:\windows\temp\74df3a5c.exe','32');

 DeleteFile('c:\windows\temp\rar$exa0.646\phoner\phonerlite.exe','32');

 DeleteFile('c:\windows\temp\radaeaae.tmp','32');

 DeleteFile('C:\Documents and Settings\user\Local Settings\Application Data\Amwgworks\gwpgycfl.dll','32');

 DeleteFile('C:\Documents and Settings\user\Local Settings\Application Data\Amwgworks\74DF3A5C.exe','32');

 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');

 DeleteFile('C:\Documents and Settings\All Users\Application Data\Drivers\csrss.exe','32');

 DeleteFile('C:\Documents and Settings\user\Local Settings\Application Data\Ulcmedia\gwpgycfl.dll','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YhnPack','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ulcmedia','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Amwgworks','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','CDBurn');

ExecuteSysClean;

RebootWindows(true);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 

 

[macaflen]

выполнено

 

 

 

 

CollectionLog-2016.04.21-08.22.zip Отправляю файл с логами

CollectionLog-2016.04.21-08.22.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[macaflen]

выполнено

Addition.txt

FRST.txt

[mike 1]

Kaspersky Internet Security 2011 (HKLM\...\InstallWIX_{66F1F013-008F-4875-B283-5A814B820347}) (Version: 11.0.2.556 - Лаборатория Касперского)

Ну что, досиделись? Сидят на этом старье, а потом плачут, что у них файлы зашифровались. Обновляйте это убожество до 2016 версии.  http://support.kaspersky.ru/support/support_table#home

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1085031214-113007714-1417001333-1001\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Documents and Settings\user\Local Settings\Application Data\Amwgworks\gwpgycfl.dll ATTENTION
2016-04-20 06:37 - 2016-04-20 06:37 - 03133494 _____ C:\Documents and Settings\user\Application Data\079E1D11079E1D11.bmp
2016-04-20 06:19 - 2016-04-21 07:37 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
CustomCLSID: HKU\S-1-5-21-1085031214-113007714-1417001333-1001_Classes\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Application Data\Amwgworks\gwpgycfl.dll => No File

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

[macaflen]

выполнено

Fixlog.txt

[mike 1]

Антивирус обновили?

[macaflen]

да

[mike 1]

Хорошо. Пишите запрос теперь  http://forum.kasperskyclub.ru/index.php?showtopic=48525

 

Для повышения уровня компьютерной грамотности ознакомьтесь с этим:

 

1. https://forum.kaspersky.com/index.php?showtopic=314866

2. http://forum.kasperskyclub.ru/index.php?app=blog&module=display&section=blog&blogid=320&showentry=2083