Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Помогите. Вирус better_call_saul

macaflen
 Поделиться

Рекомендуемые сообщения

mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

ClearQuarantine;

 QuarantineFile('C:\Documents and Settings\user\Local Settings\Application Data\Ulcmedia\gwpgycfl.dll','');

 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Drivers\csrss.exe','');

 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');

 QuarantineFile('C:\Documents and Settings\user\Local Settings\Application Data\Amwgworks\74DF3A5C.exe','');

 QuarantineFile('C:\Documents and Settings\user\Local Settings\Application Data\Amwgworks\gwpgycfl.dll','');

 TerminateProcessByName('c:\windows\temp\radaeaae.tmp');

 QuarantineFile('c:\windows\temp\radaeaae.tmp','');

 TerminateProcessByName('c:\windows\temp\rar$exa0.646\phoner\phonerlite.exe');

 QuarantineFile('c:\windows\temp\rar$exa0.646\phoner\phonerlite.exe','');

 TerminateProcessByName('c:\windows\temp\74df3a5c.exe');

 QuarantineFile('c:\windows\temp\74df3a5c.exe','');

 TerminateProcessByName('c:\windows\temp\077daf7c.exe');

 QuarantineFile('c:\windows\temp\077daf7c.exe','');

 DeleteFile('c:\windows\temp\077daf7c.exe','32');

 DeleteFile('c:\windows\temp\74df3a5c.exe','32');

 DeleteFile('c:\windows\temp\rar$exa0.646\phoner\phonerlite.exe','32');

 DeleteFile('c:\windows\temp\radaeaae.tmp','32');

 DeleteFile('C:\Documents and Settings\user\Local Settings\Application Data\Amwgworks\gwpgycfl.dll','32');

 DeleteFile('C:\Documents and Settings\user\Local Settings\Application Data\Amwgworks\74DF3A5C.exe','32');

 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');

 DeleteFile('C:\Documents and Settings\All Users\Application Data\Drivers\csrss.exe','32');

 DeleteFile('C:\Documents and Settings\user\Local Settings\Application Data\Ulcmedia\gwpgycfl.dll','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YhnPack','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ulcmedia','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CSRSS','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Amwgworks','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','CDBurn');

ExecuteSysClean;

RebootWindows(true);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 

 

mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
mike 1

mike 1

Опубликовано
Опубликовано

Kaspersky Internet Security 2011 (HKLM\...\InstallWIX_{66F1F013-008F-4875-B283-5A814B820347}) (Version: 11.0.2.556 - Лаборатория Касперского)

Ну что, досиделись? Сидят на этом старье, а потом плачут, что у них файлы зашифровались. Обновляйте это убожество до 2016 версии.  http://support.kaspersky.ru/support/support_table#home

 
 
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1085031214-113007714-1417001333-1001\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Documents and Settings\user\Local Settings\Application Data\Amwgworks\gwpgycfl.dll ATTENTION
2016-04-20 06:37 - 2016-04-20 06:37 - 03133494 _____ C:\Documents and Settings\user\Application Data\079E1D11079E1D11.bmp
2016-04-20 06:19 - 2016-04-21 07:37 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
CustomCLSID: HKU\S-1-5-21-1085031214-113007714-1417001333-1001_Classes\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InprocServer32 -> C:\Documents and Settings\user\Local Settings\Application Data\Amwgworks\gwpgycfl.dll => No File
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 
mike 1

mike 1

Опубликовано
Опубликовано

Хорошо. Пишите запрос теперь  http://forum.kasperskyclub.ru/index.php?showtopic=48525

 

Для повышения уровня компьютерной грамотности ознакомьтесь с этим:
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • pk1378
      зашифрованы файлы в формат xbtl
      Автор pk1378
      на ноутбуке вирус зашифровал файлы фотографий и документы - файла имеют расширение xbtl
      помогите расшифровать 
      лог файл и пара зашифрованных файлов прилагаются
      CollectionLog-2015.06.08-13.05.zip
      зашифрованые файлы.zip
    • Afzal
      Столкнулся с проблемой, вирус зашифровал все файлы в .xtbl
      Автор Afzal
      Столкнулся с проблемой, вирус зашифровал все файлы в .xtbl
      Утром проснулся и увидел что фоновый рисунок изменился и там было написано:
       
      Внимание!
      Все временные файлы на всех дисках вашего компьютера были зашифрованы.
      Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков.

      Attention!
      All the important files on your disks were encrypted.
      The details can be found in README.txt files which you can find on any of your disks.
        Все файлы на компьютере зашифровались. Помогите пожалуйста.     CollectionLog-2015.06.10-19.31.zip
    • Илюха Нехаев
      Вирус зашифровал все текстовые документы
      Автор Илюха Нехаев
      Все важные документы были зашифрованы, вордовские документы  выглядят набором непонятных символов, формат зашифрованных файлов - XTBL  Так же есть текстовой документ в котором написано куда написать чтобы мне все расшифровали, деньги вымогают. " Вместо картинки рабочего стола висит картинка с надписью:"ВНИМАНИЕ! Все важные фалы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков."
      CollectionLog-2015.06.09-14.49.zip
    • Влад29
      зашифровались файлы xtbl. выручите пожалуйста!
      Автор Влад29
      здравия всем. на компьютере , вирус зашифровал все фото и видео файлы в формате xtbl.
      помогите пожалуйста.
       
    • shturman060173
      Зашифрованы фотографии и документы
      Автор shturman060173
      Здравствуйте! 
      Зашифровны все фотографии, музыка и документы. Названия изменились на наборы символов, расширение у файлов ".xtbl"
      На рабочем столе фон изменился на черный и выведена надпись красным шрифтом:
                                                                 ВНИМАНИЕ!
                Все важные файлы на всех дисках вашего компьютера были зашифрованы.
      Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом
                                                                     из дисков.
      В файле README.txt следуюущий текст:
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: DA67F4D339F0132C9526|0 на электронный адрес decode0987@gmail.com или decode098@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. Провел проверку Kaspersky Virus Removal Tool 2015, потом запустил автоматический сборщик логов.
      Результат прилагаю к сообщению.
       
      CollectionLog-2015.06.03-12.23.zip
      README1.txt
×
×
  • Создать...