файлы расширением .better_call_saul

[nicita]

Здраствуйте.

Прошу помощи в расшифровке файлов расширением .better_call_saul.

Сегодня утром сотрудник организации открыл файл с неизвестного источника, в последствии все файлы документов на ее компьютере и часть файлов, включая очень важные офисные документы и граф.файлы компьютере - сервере зашифровались расширением .better_call_saul.

 

Лицензия антивир. Касперского (копоративная) выписана на организацию

 

 

 

FRST.txt

CollectionLog-2016.04.25-14.00.zip

[mike 1]

Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!!!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[nicita]

 

Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

Подскажите пожалуйста - я логи прикреплял с зараженного пк- сервера, который заразился при обращении к нему изначально зараженного компьютера сотрудника.

Нужны логи именно с того пк , который изначально был заражен ? 

[mike 1]

Сервер тоже заражен. По компьютеру сотрудника создайте новую тему и прикрепите только стандартные логи Автологгера. 

[nicita]

Мне важны документы именно сервера, компьютер сотрудника не очень важен.

Логи были прикреплены сервера- вот серверные документы очень важны!!!

 

Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

 Прикрепил лог.

лог.txt

[mike 1]

В MBAM удалите все, кроме:

Файлы: 192
HackTool.AutoKMS, C:\Документы\Программист\Активаторы\KMSAuto Net.exe, , [72944c67940593a35be513f850b2ab55], 
Trojan.FakePDF, C:\Документы\Программист\драйвера\Xerox Phaser 3125\Phaser3125_2K_Vista_PCL6_v3.04.05.03\DATA\SSOpen.exe, , [d135fdb629707bbb427e03d2926e5fa1], 
Trojan.FakePDF, C:\Документы\Программист\драйвера\Xerox Phaser 3125\Phaser3125_2K_Vista_PS_v1.12\DATA\SSOpen.exe, , [ee189c17039692a4bf01ece9b74930d0],

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

 

 

Мне важны документы именно сервера, компьютер сотрудника не очень важен.

У вас сетевые ресурсы могут шифроваться, которые доступны тому сотруднику.

[nicita]

@mike 1, В MBAM удалите все, кроме:

Файлы: 192
HackTool.AutoKMS, C:\Документы\Программист\Активаторы\KMSAuto Net.exe, , [72944c67940593a35be513f850b2ab55],
Trojan.FakePDF, C:\Документы\Программист\драйвера\Xerox Phaser 3125\Phaser3125_2K_Vista_PCL6_v3.04.05.03\DATA\SSOpen.exe, , [d135fdb629707bbb427e03d2926e5fa1],
Trojan.FakePDF, C:\Документы\Программист\драйвера\Xerox Phaser 3125\Phaser3125_2K_Vista_PS_v1.12\DATA\SSOpen.exe, , [ee189c17039692a4bf01ece9b74930d0],

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

 

по ошибке удалил все,включая записи выше, извините

прикрепил лог

лог 24042016.txt

Изменено 26 апреля, 2016 пользователем nicita

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[nicita]

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

Сделал. Прикрепил.

FRST.txt

Addition.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

GroupPolicy: Restriction - Chrome <======= ATTENTION

GroupPolicyScripts: Restriction <======= ATTENTION

CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

Task: {4C64BCBF-A65F-4CE5-8C5B-253C18616BEA} - \Funmoods -> No File <==== ATTENTION

Task: {A7DB00ED-F52A-4C46-B490-CB8B2C88FE32} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION

Task: {B902B5CB-C060-49C9-B164-44177E777A45} - \DealPlyUpdate -> No File <==== ATTENTION

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
  

 

 

[nicita]

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Task: {4C64BCBF-A65F-4CE5-8C5B-253C18616BEA} - \Funmoods -> No File <==== ATTENTION
Task: {A7DB00ED-F52A-4C46-B490-CB8B2C88FE32} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION
Task: {B902B5CB-C060-49C9-B164-44177E777A45} - \DealPlyUpdate -> No File <==== ATTENTION

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

После выполнения вышеуказанных действий ПК перегрузился автоматически!!!

 

Fixlog.txt - прикрепил.

upload.zip  - не был создан на Рабочем столе

Fixlog.txt

Изменено 26 апреля, 2016 пользователем nicita

[mike 1]

С сервером закончили. Теперь делайте логи с рабочей станции сотрудника.

[nicita]

С сервером закончили. Теперь делайте логи с рабочей станции сотрудника.

 файлы на сервере как были с расширением .better_call_saul, так и остались с этим же расширением !!!Ничего не изменилось!!!

[mike 1]

В техподдержку обращайтесь, если есть лицензия на антивирус.

[nicita]

В техподдержку обращайтесь, если есть лицензия на антивирус.

Лицензия есть. Не пойму все эти логи , сканирования зачем были?