Шифровальщик better_caul_saul

24 апреля, 2016

Здравствуйте. В письме (оно осталось) пытался открыть вложение, там оказался ява скрипт. Сначала и не понял, что это. А когда понял шифровальщик уже хорошо поработал и теперь все файлы имеют странное имя и расширение better_cal_saul. Заражение произошло 22.04.2016 (на тот момент антивирус не был установлен,только штатный виндосовский). Возможно ли расшифровать все обратно и куда обратиться?

CollectionLog-2016.04.24-08.23.zip

Addition.txt

FRST.txt

24 апреля, 2016

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
ShellExecuteHooks-x32:  - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} -  No File [ ]
ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 1 (GFS Unread Stub)] -> {99FD978C-D287-4F50-827F-B2C658EDA8E7} =>  No File
ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2 (GFS Stub)] -> {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} =>  No File
ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)] -> {920E6DB1-9907-4370-B3A0-BAFC03D81399} =>  No File
ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 3 (GFS Folder)] -> {16F3DD56-1AF5-4347-846D-7C10C4192619} =>  No File
ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 4 (GFS Unread Mark)] -> {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} =>  No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.qvo6.com/?utm_source=b&utm_medium=amt&utm_campaign=eXQ&utm_content=hp&from=amt&uid=HitachiXHTS545032A7E380_TA8B113VKTBVPNKTBVPNX&ts=1380125878
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.qvo6.com/?utm_source=b&utm_medium=amt&utm_campaign=eXQ&utm_content=hp&from=amt&uid=HitachiXHTS545032A7E380_TA8B113VKTBVPNKTBVPNX&ts=1380125878
HKU\S-1-5-21-2619382486-1676339629-1883573689-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.qvo6.com/?utm_source=b&utm_medium=amt&utm_campaign=eXQ&utm_content=hp&from=amt&uid=HitachiXHTS545032A7E380_TA8B113VKTBVPNKTBVPNX&ts=1380125878
BHO: No Name -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> No File
BHO-x32: No Name -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> No File
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [No File]
FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL [No File]
FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK => not found
Task: {0DD8DCEB-70BD-4C17-80D7-4792F8A4580F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {64009D95-55E7-4881-BD7A-6966C7FE91DE} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {6702F061-5FE2-43CA-A278-C2AA01D0F5F3} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {6F4E98F5-8E01-461F-9EFE-58CA94879C13} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {77578525-80FA-4E9D-B697-C7005FB3853A} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {8781C09A-2F87-4911-B055-DB9A50DD070B} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
Task: {8A9EBFE4-25AC-4269-A9C1-AD203DDC215E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {A988B7BD-2241-420D-8FF2-906D306CA873} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {BA6022A0-C4C3-4A21-B0C1-D77EED102ABA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {BA7625FB-54EA-4CB2-A049-EF545A47299B} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {DE31FC25-CFC6-45BE-A072-82FD3FD8989D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {EEB8FD3B-A131-4CE5-9059-E42E30D0AFE0} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: C:\WINDOWS\Tasks\AmiUpdXp.job => C:\Users\DNS\AppData\Local\SwvUpdater\Updater.exe <==== ATTENTION
C:\Users\DNS\AppData\Local\SwvUpdater
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

24 апреля, 2016

высылаю

Fixlog.txt

24 апреля, 2016

С расшифровкой помочь не сможем

Шифровальщик better_caul_saul

Рекомендуемые сообщения

JamesRED

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

JamesRED

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum