Зашифровались файлы.

**cpmss** · 03.03.2016, 15:28

Добрый день! и сразу к проблеме:

Началось все(как показалось) с получения пистма по почте, после этого все документы (такие как ворд и эксель) стали зашифроваными.
Название файлов стали примероно такими: "+mWWlObfqAcH4lIlEdKzjMhWf3OrC5Y.85465BC70A4912468 E17"
В свойствах показывает тип файла: "BETTER_CALL_SAUL" (.better_call_saul)
Так же на рабочем столе появились 10 файлов: Readme1 и так до Readme10, в которых содержится информация для получения кода расшифровки. Буду благодарен в момощи расшифровки документов. Спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.03.2016, 15:30

Уважаемый(ая) cpmss, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 03.03.2016, 20:03

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 QuarantineFile('C:\Users\user\AppData\Local\Abworks\MsNetAgent64.dll','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Abworks');
 DeleteFile('C:\Users\user\AppData\Local\Abworks\MsNetAgent64.dll','32');
ExecuteWizard('TSW',2,3,true);
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

**cpmss** · 09.03.2016, 09:56

Добрый день! прошу прощения что долго заходил.
добавить в карантин не получилось.
" Приложение 2. Как прислать запрошенные файлы.
1.Запустите AVZ, выберите в меню "Файл" -> "Просмотр карантина".
2.Справа в списке файлов отметьте те файлы, которые нужно выслать "
у меня этот список пустой, я попробывал заархивировать одни из зараженных фалов в zip и постиавил пароль virus, но похоже система не приняла файл.

**mike 1** · 09.03.2016, 12:52

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**cpmss** · 09.03.2016, 14:49

готово

**mike 1** · 09.03.2016, 18:28

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
2016-03-02 08:17 - 2016-03-09 10:24 - 00000000 ____D C:\Users\user\AppData\Local\Abworks
2016-03-02 08:16 - 2016-03-03 10:40 - 00000000 ____D C:\Users\user\AppData\Local\YbPack
2016-03-02 08:16 - 2016-03-02 08:16 - 03148854 _____ C:\Users\user\AppData\Roaming\1E4A26061F69FBCE.bmp
2016-03-01 16:41 - 2016-03-03 09:37 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-03-01 16:41 - 2016-03-03 09:37 - 00000000 __SHD C:\ProgramData\Windows
2014-04-24 14:52 - 2014-04-11 04:27 - 8658184 _____ (ОПФР по Красноярскому краю                                  ) C:\Program Files\Перечень_ЛП_3.5.2.exe
C:\ProgramData\flashax10.exe
C:\Users\Все пользователи\flashax10.exe
Task: {7B05F0CD-2854-4D06-A51F-0EE274A6C668} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-12-10] (BonanzaDeals) <==== ATTENTION
Task: {9EDC6573-45B7-4539-8BDA-8A500D4B719C} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-12-10] (BonanzaDeals) <==== ATTENTION
Task: {EB988EEA-9E14-466B-9531-9E7451955F17} - System32\Tasks\BonanzaDealsUpdate => C:\Program <==== ATTENTION
Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe <==== ATTENTION
Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe <==== ATTENTION
FirewallRules: [{ED7ADD03-2206-4F1E-A868-7BD8B4CD2856}] => (Allow) svchost.exe
zip:C:\FRST\Quarantine

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

**cpmss** · 10.03.2016, 08:49

ссылка на пост с загруженым файлом upload в теме"ответ вирус или нет?" http://virusinfo.info/showthread.php...=1#post1365218

**mike 1** · 10.03.2016, 11:36

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

**cpmss** · 10.03.2016, 13:39

готово

**mike 1** · 10.03.2016, 16:04

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**cpmss** · 11.03.2016, 13:09

готово

**mike 1** · 11.03.2016, 14:26

Теперь порядок.

С расшифровкой не поможем.

**CyberHelper** · 11.03.2016, 14:36

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Зашифровались файлы. (заявка № 197788)

Опции темы