файлы с расширением .better_call_saul

[ev5]

помоги с расшифровкой файлов! отчеты прицепил!

FRST.txt

Addition.txt

[mike 1]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[ev5]

проверку провел антивирусом касперского 6.0.4.1424 с актуальными базами ничего не нашел!

логи прилагаю!

CollectionLog-2016.04.25-14.58.zip

Изменено 25 апреля, 2016 пользователем ev5

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');

 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');

ExecuteSysClean;

RebootWindows(true);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 

 

[ev5]

Назашифрованной машине установлен Windows XP SP3!

[mike 1]

Выполняйте что вам написали.

[ev5]

Новые логи!

CollectionLog-2016.04.26-13.21.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[ev5]

готово!

FRST.txt

Addition.txt

[mike 1]

Антивирус Касперского 6.0 для Windows Workstations (HKLM\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1424 - Лаборатория Касперского)

Антивирус уже давно снят с поддержки. К нему и базы уже не выпускают. Обновляйтесь до KES 10! Переход на новую версию бесплатный.

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
S2 IOcztiahb; C:\WINDOWS\System32\svchost.exe [14336 2008-04-15] (Microsoft Corporation)
NETSVC: IOcztiahb -> no filepath.
2016-04-24 22:07 - 2016-04-22 09:27 - 00011862 _____ C:\Documents and Settings\Администратор\Рабочий стол\66802204.js
2016-04-24 21:02 - 2016-04-24 21:02 - 03932214 _____ C:\Documents and Settings\Администратор\Application Data\E4B2B729E4B2B729.bmp
2016-04-24 21:20 - 2016-04-22 09:27 - 00007486 _____ C:\Documents and Settings\Администратор\Рабочий стол\96322204.zip
2016-04-24 20:39 - 2016-04-26 12:56 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
StandardProfile\AuthorizedApplications: [C:\WINDOWS\explorer.exe] => Enabled:dpkS_uppkrBUa_JGnwzvayGcjU
StandardProfile\AuthorizedApplications: [C:\WINDOWS\system32\svchost.exe] => Enabled:dpkS_uppkrBUa_JGnwzvayGcjU
zip:C:\FRST\Quarantine

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

 

Установите Internet Explorer 8 (даже если им не пользуетесь)

[ev5]

IE обновил! представители Касперского говорили что поддержка 6 версии продлена до конца 2016 года. базы регулярно обновляются.

файл Upload.zip загружен по форме!

 

 

Файл сохранён как

160427_073906_Upload_5720426a9e229.zip Размер файла 41718 MD5 e25c3b6c58efae6abc104781ec834df3

Fixlog.txt

Изменено 27 апреля, 2016 пользователем ev5

[mike 1]

IE обновил! представители Касперского говорили что поддержка 6 версии продлена до конца 2016 года. базы регулярно обновляются.

Ерунда все это. Читайте  http://support.kaspersky.ru/support/lifecycle#b2b.block0.wks6mp4

 

Можете считать, что на данный момент у вас нет антивируса. Это старье, которое у Вас установлено бесполезно против шифровальщиков. Наличие актуальных баз еще ни о чем не говорит.

 

 

 

 

[ev5]

Понятно! а версия KES 10 обнаружила бы эту заразу?

[mike 1]

Смотрите

 

 

[ev5]

мой ключик подходит к KES10! но шифрование файлов отмечено красным крестиком это нормально?! это не повлияет на обнаружение шифровальщиков?