Все файлы зашифрованы, подробности в readme

**Vovan_Gor** · 22.03.2016, 20:40

День добрый.
Случилась такая фигня у тещи

черный экран, сообщение "все файлы зашифрованы...." расширение у файлов стало .better_call_saul

Вирусяки вроде погонял, но хотелось бы мнение экспертов. Что сделал так, что не так.
Заранее премного благодарен.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 22.03.2016, 20:41

Уважаемый(ая) Vovan_Gor, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 24.03.2016, 00:28

Уведомление

Внимание !!! Последняя версия протокола антивирусной утилиты AVZ - версия 4.46

Обновите протокол антивирусной утилиты AVZ версии 4.46 и переделайте логи.

**Vovan_Gor** · 24.03.2016, 22:24

Звеняйте.
Сделал

SQ · 25.03.2016, 01:01

Поправьте дату на Вашем ПК.

Сканирование запущено в 22.03.2016 04:34:56
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 24.03.2016 16:00

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Vovan_Gor** · 25.03.2016, 20:57

готово

SQ · 25.03.2016, 22:15

Что из этого Вам знакома?

Код:

CHR Extension: (Ultimate Discounter) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhgllpapg [2014-10-17]
OPR Extension: (Ultimate Discounter) - C:\Documents and Settings\Администратор\Application Data\Opera Software\Opera Stable\Extensions\dcnopnlodagacagplbnimfokkomdhnio [2014-10-17]
2015-04-30 13:17 - 2015-04-30 13:41 - 6103040 _____ () C:\Program Files\GUT1990.tmp
2010-09-15 10:24 - 2010-09-15 10:24 - 4636144 ____C () C:\Program Files\sccsp.exe

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {02e4c81b-8c1d-11e5-a6c9-001e8c1d3c60} - F:\HTC_Sync_Manager_PC.exe
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {0383b46c-db35-11de-9e27-001e8c1d3c60} - F:\
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {0969f27a-a365-11de-9dcc-001e8c1d3c60} - F:\
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {0d3f29cc-cd14-11df-9f51-001e8c1d3c60} - setupSNK.exe
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {2c84abfd-e9fa-11e5-a775-001e8c1d3c60} - F:\HTC_Sync_Manager_PC.exe
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {3bf71d3d-eb8f-11e2-a2a6-001e8c1d3c60} - F:\RunClubSanDisk.exe
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {3f1b801c-3b5b-11dd-9c4f-001e8c1d3c60} - F:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\filename.exe
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {48ddb876-56ac-11e0-9f93-c1f11dcaf3e8} - F:\AutoRun.exe
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {4b169310-759b-11e2-a1f6-001e8c1d3c60} - F:\urDrive.exe
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {5b6086e0-b921-11e1-a10e-001e8c1d3c60} - G:\ActivateWarranty(JF).exe
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {8985409d-8f69-11e1-a0e6-001e8c1d3c60} - F:\AutoRun.exe
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {aac253d0-b61a-11dd-9cca-001e8c1d3c60} - F:\
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {d1213865-3023-11e0-9f80-af1436687901} - F:\AutoRun.exe
HKU\S-1-5-21-1454471165-1788223648-839522115-500\...\MountPoints2: {d1213867-3023-11e0-9f80-af1436687901} - F:\AutoRun.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.alawar.ru/?pid=534
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= ATTENTION
SearchScopes: HKLM -> DefaultScope value is missing
Toolbar: HKU\S-1-5-21-1454471165-1788223648-839522115-500 -> No Name - {965B54B0-71E0-4611-8DE7-F73FA0B20E26} -  No File
Toolbar: HKU\S-1-5-21-1454471165-1788223648-839522115-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
CHR Extension: (MDM Utilities) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ajpgkpeckebdhofmmjfgcjjiiejpodla [2016-03-17] [UpdateUrl: hxxps://clients2.google/service/khagcaoddcajccbfllcgiljpcimgllpo] <==== ATTENTION
Folder:  C:\Documents and Settings\Администратор\Application Data\EcthymaMainframe
2016-03-18 14:11 - 2014-10-17 15:38 - 00000000 ____D C:\Program Files\BaiduEx
Folder: C:\Documents and Settings\Администратор\Application Data\BeachPartyCraze
Folder: C:\FkClnt2
2016-03-17 11:05 - 2016-03-17 11:05 - 2949174 _____ () C:\Documents and Settings\Администратор\Application Data\95DB1E1595DB1E15.bmp
File: C:\Program Files\GUT1990.tmp
File: C:\Program Files\sccsp.exeC:\Documents and Settings\Администратор\an.bat
C:\Documents and Settings\Администратор\sd.bat
C:\Documents and Settings\Администратор\Local Settings\Temp\amigo_adsetup_lp5okbanneroldbrwff.exe
C:\Documents and Settings\Администратор\Local Settings\Temp\amigo_setup.exe
HKU\S-1-5-21-1454471165-1788223648-839522115-500\Control Panel\Desktop\\Wallpaper -> C:\Documents and Settings\Администратор\Application Data\95DB1E1595DB1E15.bmp
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Services]
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Vovan_Gor** · 25.03.2016, 23:20

то ли у меня лыжи не едут...
fixlog весит метр, не могу прикрепить, мол превышен размер...

SQ · 25.03.2016, 23:33

Сообщение от Vovan_Gor

то ли у меня лыжи не едут...
fixlog весит метр, не могу прикрепить, мол превышен размер...

Заархивируйте и попробуйте приложить еще раз.

**Vovan_Gor** · 25.03.2016, 23:43

Сообщение от SQ

Заархивируйте и попробуйте приложить еще раз.

та же история.
пробовал

SQ · 25.03.2016, 23:53

Удалите старые вложения Мой кабинет => Вложения

**Vovan_Gor** · 26.03.2016, 00:00

есть

- - - - -Добавлено - - - - -

по поводу двух файлов которые "мне знакомы" - собственно и есть "зараза"?

SQ · 26.03.2016, 00:27

Сообщение от Vovan_Gor

по поводу двух файлов которые "мне знакомы" - собственно и есть "зараза"?

О каких двух файлов идет речь?

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
```
CreateRestorePoint:
CloseProcesses:
File: C:\Program Files\sccsp.exe
C:\Documents and Settings\Администратор\an.bat
Reboot:
```
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Vovan_Gor** · 26.03.2016, 16:25

Код:
CHR Extension: (Ultimate Discounter) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhg llpapg [2014-10-17]
OPR Extension: (Ultimate Discounter) - C:\Documents and Settings\Администратор\Application Data\Opera Software\Opera Stable\Extensions\dcnopnlodagacagplbnimfokkomdhnio [2014-10-17]
2015-04-30 13:17 - 2015-04-30 13:41 - 6103040 _____ () C:\Program Files\GUT1990.tmp
2010-09-15 10:24 - 2010-09-15 10:24 - 4636144 ____C () C:\Program Files\sccsp.exe

- - - - -Добавлено - - - - -

[QUOTE=SQ;1369767]О каких двух файлов идет речь?

Код:
CHR Extension: (Ultimate Discounter) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhg llpapg [2014-10-17]
OPR Extension: (Ultimate Discounter) - C:\Documents and Settings\Администратор\Application Data\Opera Software\Opera Stable\Extensions\dcnopnlodagacagplbnimfokkomdhnio [2014-10-17]
2015-04-30 13:17 - 2015-04-30 13:41 - 6103040 _____ () C:\Program Files\GUT1990.tmp
2010-09-15 10:24 - 2010-09-15 10:24 - 4636144 ____C () C:\Program Files\sccsp.exe

- - - - -Добавлено - - - - -

сделал

SQ · 26.03.2016, 19:49

Не похоже на "зараза", просто уточняю?

Код:

2015-04-30 13:17 - 2015-04-30 13:41 - 6103040 _____ () C:\Program Files\GUT1990.tmp
2010-09-15 10:24 - 2010-09-15 10:24 - 4636144 ____C () C:\Program Files\sccsp.exe

Сами ставили расширения в Google Chrome и Opera и используете?

CHR Extension: (Ultimate Discounter) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhg llpapg [2014-10-17]
OPR Extension: (Ultimate Discounter) - C:\Documents and Settings\Администратор\Application Data\Opera Software\Opera Stable\Extensions\dcnopnlodagacagplbnimfokkomdhnio [2014-10-17]

Как защифровались файлы, что-то открывали в почте?

**Vovan_Gor** · 26.03.2016, 21:09

не я ставил ))))
да пришло письмо, как мне описали что-то якобы от начальства, срочно дать ответ и.т.д. открыли, скачали файл раз 10, антивирь блокировал. Ну, так не беда мы упорные - запустили файл и вуаля))) Сильно испугались и удалили файл, письмо с почты, почистили корзину в почте (это всё мне больше всего понравилось)

SQ · 27.03.2016, 01:33

Сообщение от Vovan_Gor

не я ставил ))))

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
CHR Extension: (Ultimate Discounter) - C:\Documents and Settings\Администратор\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhg llpapg [2014-10-17]
OPR Extension: (Ultimate Discounter) - C:\Documents and Settings\Администратор\Application Data\Opera Software\Opera Stable\Extensions\dcnopnlodagacagplbnimfokkomdhnio [2014-10-17] 
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

С расшифровкой не поможем.

**Vovan_Gor** · 27.03.2016, 13:00

С расшифровкой -это понятно.
Попробую сам в прогах поковыряться, хотя.... врятли это как иголку в стоге сена)))

SQ · 27.03.2016, 13:31

Сделайте резервную копию защифрованных файлов, время не стоит на месте, возможно в скором будущем поможем с расшифровкой, но опять же обещать ничего не можем.

**Vovan_Gor** · 27.03.2016, 14:05

Уже сделал.
Будем ждать.
С лечением усё? Если да, то ОГРОМНОЕ спасибо за помощь.

Все файлы зашифрованы, подробности в readme (заявка № 198618)

Опции темы