Junior Member
Вес репутации
53
Все файлы зашифрованы, подробности в readme
День добрый.
Случилась такая фигня у тещи черный экран, сообщение "все файлы зашифрованы...." расширение у файлов стало .better_call_saul Вирусяки вроде погонял, но хотелось бы мнение экспертов. Что сделал так, что не так.
Заранее премного благодарен.
Экономьте электричество! Выключайте Num Lock!
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Vovan_Gor , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Обновите протокол антивирусной утилиты AVZ версии 4.46 и переделайте логи.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
53
Экономьте электричество! Выключайте Num Lock!
Поправьте дату на Вашем ПК.
Сканирование запущено в
22.03.2016 04:34:56
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от
24.03.2016 16:00
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание : необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5" .
Нажмите кнопку Scan . После окончания сканирования будет создан отчет (FRST.txt ) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt ). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
53
Экономьте электричество! Выключайте Num Lock!
Что из этого Вам знакома?
Код:
CHR Extension: (Ultimate Discounter) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhgllpapg [2014-10-17]
OPR Extension: (Ultimate Discounter) - C:\Documents and Settings\Администратор\Application Data\Opera Software\Opera Stable\Extensions\dcnopnlodagacagplbnimfokkomdhnio [2014-10-17]
2015-04-30 13:17 - 2015-04-30 13:41 - 6103040 _____ () C:\Program Files\GUT1990.tmp
2010-09-15 10:24 - 2010-09-15 10:24 - 4636144 ____C () C:\Program Files\sccsp.exe
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {02e4c81b-8c1d-11e5-a6c9-001e8c1d3c60} - F:\HTC_Sync_Manager_PC.exe
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {0383b46c-db35-11de-9e27-001e8c1d3c60} - F:\
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {0969f27a-a365-11de-9dcc-001e8c1d3c60} - F:\
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {0d3f29cc-cd14-11df-9f51-001e8c1d3c60} - setupSNK.exe
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {2c84abfd-e9fa-11e5-a775-001e8c1d3c60} - F:\HTC_Sync_Manager_PC.exe
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {3bf71d3d-eb8f-11e2-a2a6-001e8c1d3c60} - F:\RunClubSanDisk.exe
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {3f1b801c-3b5b-11dd-9c4f-001e8c1d3c60} - F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\filename.exe
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {48ddb876-56ac-11e0-9f93-c1f11dcaf3e8} - F:\AutoRun.exe
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {4b169310-759b-11e2-a1f6-001e8c1d3c60} - F:\urDrive.exe
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {5b6086e0-b921-11e1-a10e-001e8c1d3c60} - G:\ActivateWarranty(JF).exe
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {8985409d-8f69-11e1-a0e6-001e8c1d3c60} - F:\AutoRun.exe
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {aac253d0-b61a-11dd-9cca-001e8c1d3c60} - F:\
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {d1213865-3023-11e0-9f80-af1436687901} - F:\AutoRun.exe
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {d1213867-3023-11e0-9f80-af1436687901} - F:\AutoRun.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.alawar.ru/?pid=534
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= ATTENTION
SearchScopes: HKLM -> DefaultScope value is missing
Toolbar: HKU\S-1-5-21-1454471165-1788223648-839522115-500 -> No Name - {965B54B0-71E0-4611-8DE7-F73FA0B20E26} - No File
Toolbar: HKU\S-1-5-21-1454471165-1788223648-839522115-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
CHR Extension: (MDM Utilities) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ajpgkpeckebdhofmmjfgcjjiiejpodla [2016-03-17] [UpdateUrl: hxxps://clients2.google/service/khagcaoddcajccbfllcgiljpcimgllpo] <==== ATTENTION
Folder: C:\Documents and Settings\Администратор\Application Data\EcthymaMainframe
2016-03-18 14:11 - 2014-10-17 15:38 - 00000000 ____D C:\Program Files\BaiduEx
Folder: C:\Documents and Settings\Администратор\Application Data\BeachPartyCraze
Folder: C:\FkClnt2
2016-03-17 11:05 - 2016-03-17 11:05 - 2949174 _____ () C:\Documents and Settings\Администратор\Application Data\95DB1E1595DB1E15.bmp
File: C:\Program Files\GUT1990.tmp
File: C:\Program Files\sccsp.exeC:\Documents and Settings\Администратор\an.bat
C:\Documents and Settings\Администратор\sd.bat
C:\Documents and Settings\Администратор\Local Settings\Temp\amigo_adsetup_lp5okbanneroldbrwff.exe
C:\Documents and Settings\Администратор\Local Settings\Temp\amigo_setup.exe
HKU\S-1-5-21-1454471165-1788223648-839522115-500\Control Panel\Desktop\\Wallpaper -> C:\Documents and Settings\Администратор\Application Data\95DB1E1595DB1E15.bmp
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Services]
Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt) . Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
53
то ли у меня лыжи не едут...
fixlog весит метр, не могу прикрепить, мол превышен размер...
Экономьте электричество! Выключайте Num Lock!
Сообщение от
Vovan_Gor
то ли у меня лыжи не едут...
fixlog весит метр, не могу прикрепить, мол превышен размер...
Заархивируйте и попробуйте приложить еще раз.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
53
Сообщение от
SQ
Заархивируйте и попробуйте приложить еще раз.
та же история.
пробовал
Экономьте электричество! Выключайте Num Lock!
Удалите старые вложения Мой кабинет => Вложения
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
53
есть
- - - - -Добавлено - - - - -
по поводу двух файлов которые "мне знакомы" - собственно и есть "зараза"?
Вложения
Экономьте электричество! Выключайте Num Lock!
Сообщение от
Vovan_Gor
по поводу двух файлов которые "мне знакомы" - собственно и есть "зараза"?
О каких двух файлов идет речь?
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
File: C:\Program Files\sccsp.exe
C:\Documents and Settings\Администратор\an.bat
Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt) . Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
53
Код:
CHR Extension: (Ultimate Discounter) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhg llpapg [2014-10-17]
OPR Extension: (Ultimate Discounter) - C:\Documents and Settings\Администратор\Application Data\Opera Software\Opera Stable\Extensions\dcnopnlodagacagplbnimfokkomdhnio [2014-10-17]
2015-04-30 13:17 - 2015-04-30 13:41 - 6103040 _____ () C:\Program Files\GUT1990.tmp
2010-09-15 10:24 - 2010-09-15 10:24 - 4636144 ____C () C:\Program Files\sccsp.exe
- - - - -Добавлено - - - - -
[QUOTE=SQ;1369767]О каких двух файлов идет речь?
Код:
CHR Extension: (Ultimate Discounter) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhg llpapg [2014-10-17]
OPR Extension: (Ultimate Discounter) - C:\Documents and Settings\Администратор\Application Data\Opera Software\Opera Stable\Extensions\dcnopnlodagacagplbnimfokkomdhnio [2014-10-17]
2015-04-30 13:17 - 2015-04-30 13:41 - 6103040 _____ () C:\Program Files\GUT1990.tmp
2010-09-15 10:24 - 2010-09-15 10:24 - 4636144 ____C () C:\Program Files\sccsp.exe
- - - - -Добавлено - - - - -
сделал
Вложения
Экономьте электричество! Выключайте Num Lock!
Не похоже на "зараза", просто уточняю?
Код:
2015-04-30 13:17 - 2015-04-30 13:41 - 6103040 _____ () C:\Program Files\GUT1990.tmp
2010-09-15 10:24 - 2010-09-15 10:24 - 4636144 ____C () C:\Program Files\sccsp.exe
Сами ставили расширения в Google Chrome и Opera и используете?
CHR Extension: (Ultimate Discounter) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhg llpapg [2014-10-17]
OPR Extension: (Ultimate Discounter) - C:\Documents and Settings\Администратор\Application Data\Opera Software\Opera Stable\Extensions\dcnopnlodagacagplbnimfokkomdhnio [2014-10-17]
Как защифровались файлы, что-то открывали в почте?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
53
не я ставил ))))
да пришло письмо, как мне описали что-то якобы от начальства, срочно дать ответ и.т.д. открыли, скачали файл раз 10, антивирь блокировал. Ну, так не беда мы упорные - запустили файл и вуаля))) Сильно испугались и удалили файл, письмо с почты, почистили корзину в почте (это всё мне больше всего понравилось)
Экономьте электричество! Выключайте Num Lock!
Сообщение от
Vovan_Gor
не я ставил ))))
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
CHR Extension: (Ultimate Discounter) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhg llpapg [2014-10-17]
OPR Extension: (Ultimate Discounter) - C:\Documents and Settings\Администратор\Application Data\Opera Software\Opera Stable\Extensions\dcnopnlodagacagplbnimfokkomdhnio [2014-10-17]
Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt) . Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
С расшифровкой не поможем.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
53
С расшифровкой -это понятно.
Попробую сам в прогах поковыряться, хотя.... врятли это как иголку в стоге сена)))
Вложения
Экономьте электричество! Выключайте Num Lock!
Сделайте резервную копию защифрованных файлов, время не стоит на месте, возможно в скором будущем поможем с расшифровкой, но опять же обещать ничего не можем.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
53
Уже сделал.
Будем ждать.
С лечением усё? Если да, то ОГРОМНОЕ спасибо за помощь.
Экономьте электричество! Выключайте Num Lock!