nicita 0 Опубликовано 25 апреля, 2016 Share Опубликовано 25 апреля, 2016 Здраствуйте. Прошу помощи в расшифровке файлов расширением .better_call_saul. Сегодня утром сотрудник организации открыл файл с неизвестного источника, в последствии все файлы документов на ее компьютере и часть файлов, включая очень важные офисные документы и граф.файлы компьютере - сервере зашифровались расширением .better_call_saul. Лицензия антивир. Касперского (копоративная) выписана на организацию FRST.txt CollectionLog-2016.04.25-14.00.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 25 апреля, 2016 Share Опубликовано 25 апреля, 2016 Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Цитата Ссылка на сообщение Поделиться на другие сайты
nicita 0 Опубликовано 25 апреля, 2016 Автор Share Опубликовано 25 апреля, 2016 Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подскажите пожалуйста - я логи прикреплял с зараженного пк- сервера, который заразился при обращении к нему изначально зараженного компьютера сотрудника. Нужны логи именно с того пк , который изначально был заражен ? Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 25 апреля, 2016 Share Опубликовано 25 апреля, 2016 Сервер тоже заражен. По компьютеру сотрудника создайте новую тему и прикрепите только стандартные логи Автологгера. Цитата Ссылка на сообщение Поделиться на другие сайты
nicita 0 Опубликовано 25 апреля, 2016 Автор Share Опубликовано 25 апреля, 2016 Мне важны документы именно сервера, компьютер сотрудника не очень важен. Логи были прикреплены сервера- вот серверные документы очень важны!!! Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Прикрепил лог. лог.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 25 апреля, 2016 Share Опубликовано 25 апреля, 2016 В MBAM удалите все, кроме: Файлы: 192 HackTool.AutoKMS, C:\Документы\Программист\Активаторы\KMSAuto Net.exe, , [72944c67940593a35be513f850b2ab55], Trojan.FakePDF, C:\Документы\Программист\драйвера\Xerox Phaser 3125\Phaser3125_2K_Vista_PCL6_v3.04.05.03\DATA\SSOpen.exe, , [d135fdb629707bbb427e03d2926e5fa1], Trojan.FakePDF, C:\Документы\Программист\драйвера\Xerox Phaser 3125\Phaser3125_2K_Vista_PS_v1.12\DATA\SSOpen.exe, , [ee189c17039692a4bf01ece9b74930d0], После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог. Мне важны документы именно сервера, компьютер сотрудника не очень важен. У вас сетевые ресурсы могут шифроваться, которые доступны тому сотруднику. Цитата Ссылка на сообщение Поделиться на другие сайты
nicita 0 Опубликовано 26 апреля, 2016 Автор Share Опубликовано 26 апреля, 2016 (изменено) @mike 1, В MBAM удалите все, кроме: Файлы: 192HackTool.AutoKMS, C:\Документы\Программист\Активаторы\KMSAuto Net.exe, , [72944c67940593a35be513f850b2ab55], Trojan.FakePDF, C:\Документы\Программист\драйвера\Xerox Phaser 3125\Phaser3125_2K_Vista_PCL6_v3.04.05.03\DATA\SSOpen.exe, , [d135fdb629707bbb427e03d2926e5fa1], Trojan.FakePDF, C:\Документы\Программист\драйвера\Xerox Phaser 3125\Phaser3125_2K_Vista_PS_v1.12\DATA\SSOpen.exe, , [ee189c17039692a4bf01ece9b74930d0], После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог. по ошибке удалил все,включая записи выше, извините прикрепил лог лог 24042016.txt Изменено 26 апреля, 2016 пользователем nicita Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 26 апреля, 2016 Share Опубликовано 26 апреля, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
nicita 0 Опубликовано 26 апреля, 2016 Автор Share Опубликовано 26 апреля, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Сделал. Прикрепил. FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 26 апреля, 2016 Share Опубликовано 26 апреля, 2016 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: GroupPolicy: Restriction - Chrome <======= ATTENTION GroupPolicyScripts: Restriction <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION Task: {4C64BCBF-A65F-4CE5-8C5B-253C18616BEA} - \Funmoods -> No File <==== ATTENTION Task: {A7DB00ED-F52A-4C46-B490-CB8B2C88FE32} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION Task: {B902B5CB-C060-49C9-B164-44177E777A45} - \DealPlyUpdate -> No File <==== ATTENTION Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму Цитата Ссылка на сообщение Поделиться на другие сайты
nicita 0 Опубликовано 26 апреля, 2016 Автор Share Опубликовано 26 апреля, 2016 (изменено) ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: GroupPolicy: Restriction - Chrome <======= ATTENTION GroupPolicyScripts: Restriction <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION Task: {4C64BCBF-A65F-4CE5-8C5B-253C18616BEA} - \Funmoods -> No File <==== ATTENTION Task: {A7DB00ED-F52A-4C46-B490-CB8B2C88FE32} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION Task: {B902B5CB-C060-49C9-B164-44177E777A45} - \DealPlyUpdate -> No File <==== ATTENTION Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму После выполнения вышеуказанных действий ПК перегрузился автоматически!!! Fixlog.txt - прикрепил. upload.zip - не был создан на Рабочем столе Fixlog.txt Изменено 26 апреля, 2016 пользователем nicita Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 26 апреля, 2016 Share Опубликовано 26 апреля, 2016 С сервером закончили. Теперь делайте логи с рабочей станции сотрудника. Цитата Ссылка на сообщение Поделиться на другие сайты
nicita 0 Опубликовано 26 апреля, 2016 Автор Share Опубликовано 26 апреля, 2016 С сервером закончили. Теперь делайте логи с рабочей станции сотрудника. файлы на сервере как были с расширением .better_call_saul, так и остались с этим же расширением !!!Ничего не изменилось!!! Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 26 апреля, 2016 Share Опубликовано 26 апреля, 2016 В техподдержку обращайтесь, если есть лицензия на антивирус. Цитата Ссылка на сообщение Поделиться на другие сайты
nicita 0 Опубликовано 26 апреля, 2016 Автор Share Опубликовано 26 апреля, 2016 В техподдержку обращайтесь, если есть лицензия на антивирус. Лицензия есть. Не пойму все эти логи , сканирования зачем были? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.