Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

файлы расширением .better_call_saul

nicita
 Поделиться

Рекомендуемые сообщения

nicita

nicita

Опубликовано
Опубликовано

Здраствуйте.

Прошу помощи в расшифровке файлов расширением .better_call_saul.

Сегодня утром сотрудник организации открыл файл с неизвестного источника, в последствии все файлы документов на ее компьютере и часть файлов, включая очень важные офисные документы и граф.файлы компьютере - сервере зашифровались расширением .better_call_saul.

 

Лицензия антивир. Касперского (копоративная) выписана на организацию

 

 

 

FRST.txt

CollectionLog-2016.04.25-14.00.zip

mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!!!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
nicita

nicita

Опубликовано
  • Автор
Опубликовано

 

Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

Подскажите пожалуйста - я логи прикреплял с зараженного пк- сервера, который заразился при обращении к нему изначально зараженного компьютера сотрудника.

Нужны логи именно с того пк , который изначально был заражен ? 

mike 1

mike 1

Опубликовано
Опубликовано

Сервер тоже заражен. По компьютеру сотрудника создайте новую тему и прикрепите только стандартные логи Автологгера. 

nicita

nicita

Опубликовано
  • Автор
Опубликовано

Мне важны документы именно сервера, компьютер сотрудника не очень важен.

Логи были прикреплены сервера- вот серверные документы очень важны!!!


 

Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

 Прикрепил лог.

лог.txt

mike 1

mike 1

Опубликовано
Опубликовано

В MBAM удалите все, кроме:

Файлы: 192
HackTool.AutoKMS, C:\Документы\Программист\Активаторы\KMSAuto Net.exe, , [72944c67940593a35be513f850b2ab55], 
Trojan.FakePDF, C:\Документы\Программист\драйвера\Xerox Phaser 3125\Phaser3125_2K_Vista_PCL6_v3.04.05.03\DATA\SSOpen.exe, , [d135fdb629707bbb427e03d2926e5fa1], 
Trojan.FakePDF, C:\Документы\Программист\драйвера\Xerox Phaser 3125\Phaser3125_2K_Vista_PS_v1.12\DATA\SSOpen.exe, , [ee189c17039692a4bf01ece9b74930d0],
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

 

 

Мне важны документы именно сервера, компьютер сотрудника не очень важен.

У вас сетевые ресурсы могут шифроваться, которые доступны тому сотруднику.

nicita

nicita

Опубликовано
  • Автор
Опубликовано (изменено)

@mike 1В MBAM удалите все, кроме:

Файлы: 192
HackTool.AutoKMS, C:окументырограммистктиваторы\KMSAuto Net.exe, , [72944c67940593a35be513f850b2ab55],
Trojan.FakePDF, C:окументырограммистрайвера\Xerox Phaser 3125\Phaser3125_2K_Vista_PCL6_v3.04.05.03\DATA\SSOpen.exe, , [d135fdb629707bbb427e03d2926e5fa1],
Trojan.FakePDF, C:окументырограммистрайвера\Xerox Phaser 3125\Phaser3125_2K_Vista_PS_v1.12\DATA\SSOpen.exe, , [ee189c17039692a4bf01ece9b74930d0],

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
 
по ошибке удалил все,включая записи выше, извините
прикрепил лог

лог 24042016.txt

Изменено пользователем nicita
mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
nicita

nicita

Опубликовано
  • Автор
Опубликовано

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png

 

 

Сделал. Прикрепил.

FRST.txt

Addition.txt

mike 1

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

GroupPolicy: Restriction - Chrome <======= ATTENTION

GroupPolicyScripts: Restriction <======= ATTENTION

CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION

Task: {4C64BCBF-A65F-4CE5-8C5B-253C18616BEA} - \Funmoods -> No File <==== ATTENTION

Task: {A7DB00ED-F52A-4C46-B490-CB8B2C88FE32} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION

Task: {B902B5CB-C060-49C9-B164-44177E777A45} - \DealPlyUpdate -> No File <==== ATTENTION



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

nicita

nicita

Опубликовано
  • Автор
Опубликовано (изменено)

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Task: {4C64BCBF-A65F-4CE5-8C5B-253C18616BEA} - \Funmoods -> No File <==== ATTENTION
Task: {A7DB00ED-F52A-4C46-B490-CB8B2C88FE32} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION
Task: {B902B5CB-C060-49C9-B164-44177E777A45} - \DealPlyUpdate -> No File <==== ATTENTION
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

После выполнения вышеуказанных действий ПК перегрузился автоматически!!!

 

Fixlog.txt - прикрепил.

upload.zip  - не был создан на Рабочем столе

Fixlog.txt

Изменено пользователем nicita
mike 1

mike 1

Опубликовано
Опубликовано

С сервером закончили. Теперь делайте логи с рабочей станции сотрудника.

nicita

nicita

Опубликовано
  • Автор
Опубликовано

С сервером закончили. Теперь делайте логи с рабочей станции сотрудника.

 файлы на сервере как были с расширением .better_call_saul, так и остались с этим же расширением !!!Ничего не изменилось!!!

mike 1

mike 1

Опубликовано
Опубликовано

В техподдержку обращайтесь, если есть лицензия на антивирус.

nicita

nicita

Опубликовано
  • Автор
Опубликовано

В техподдержку обращайтесь, если есть лицензия на антивирус.

Лицензия есть. Не пойму все эти логи , сканирования зачем были?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vovans
      xtbl
      Автор vovans
      Здравствуйте! Вирус шифровальщик зашифровал весь домашний фото и видеоархив.Сын удалил все вирусы и переустановил Винду.
      Название вируса не сохранил,не знаю что делать. Может есть какая надежда. Стоит Anti-virus 6.0 1688-000451-1CAB33D7.
      ++ESOAXTI-mH+-uhRET6nBLflYWVIDFR6Q7o9t-sNgI=.56697943D750721BF718.xtbl.zip
    • avanGARd62
      Вирус зашифровал файлы в *XTBL
      Автор avanGARd62
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL. На рабочем столе создалось несколько файлов README, в которых содержится призыв отправить злоумышленникам на e-mail код для получения дальнейших инструкций.
      Прикрепляю лог, полученный при сканировании (согласно инструкции).
       
      Пожалуйста, помогите.
      CollectionLog-2015.08.13-23.13.zip
    • Людмила 84
      Файлы зашифрованы в формат XTBL
      Автор Людмила 84
      Файлы зашифрованы в формат XTBL, нужен,как вернуть их в прежний формат. Проблема появилась после скачивания книги с непонятным форматом. Вкладываю в сообщение файл протоколов (логов) CollectionLog-2015.08.15-11.17.zip. Обнаружен файл txt с текстом: Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 77CF48B1169A0CBE123D|79|2|2 на электронный адрес decodefiles1@gmail.com или decodefiles@india.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 77CF48B1169A0CBE123D|79|2|2 to e-mail address decodefiles1@gmail.com or decodefiles@india.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your dat CollectionLog-2015.08.15-11.17.zip
    • wild_difi
      файлы зашифрованы в *XTBL
      Автор wild_difi
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL.Так же на рабочем столе присутствуют файлы readme с инструкцией отправки кода но почту!Прикрепляю лог, полученный при сканировании (согласно инструкции).
      Помогите
      CollectionLog-2015.08.15-02.47.zip
    • warg24
      Шифровка всех важных файлов компьютера неведомой заразой.
      Автор warg24
      Ребята кто нибудь, помогите. Включил вечером комп. начались проблемы. Сначала не удавалось к сети интернет подключиться, все запрашивал пароль от wi-fi. Потом через некоторое время появилась черная заставка с неприятным текстом от том что все файлы были зашифрованы((( все они теперь с расширением xtbl... Также имеются текстовые файлы с таким вот текстом. 
       
       Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: FAA4417C82D5F25AC88F|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: FAA4417C82D5F25AC88F|0 to e-mail address decode010@gmail.com or decode1110@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.     Что делать? Подскажите!
×
×
  • Создать...