Вирус зашифровал файлы [Trojan-Ransom.Win32.Shade.xl ]

[darkvs]

Здравствуйте! Вирус зашифровал файлы. Расширение better_call_saul. Расшифровать навряд ли удастся. Ну хоть вылечиться.

[Info_bot]

Уважаемый(ая) darkvs, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 DeleteService('{db1fd023-48a0-496d-b896-22f18fc807bb}w64');
 DeleteService('{c5443894-a06c-4f6d-8a2d-642fa543dbaa}w64');
 DeleteService('{83385e72-2cd9-4c38-99f2-28c053447f6a}w64');
 DeleteService('{7f7f2c29-eeca-42c4-8c50-9c6b4697db13}w64');
 DeleteService('{7c18b119-d64a-4b8f-90db-d1c5b5ad5acf}w64');
 DeleteService('{6a86ad4e-d1ee-4703-baff-f697dcc0f883}w64');
 DeleteService('{69c4c7d9-b535-450c-adaf-acc255c3f407}w64');
 DeleteService('{4ded1a93-d82c-44f5-b88e-a9db1ee9aee7}w64');
 DeleteService('{42ad32fb-64da-4848-a5f2-2ed54fc96139}w64');
 DeleteService('{30389f51-b968-4243-8e7c-c69cde75ce4d}w64');
 DeleteService('{29b136c9-938d-4d3d-8df8-d649d9b74d02}w64');
 DeleteService('{20fb7589-1bd1-4ee0-a9e1-46e14245fb7c}w64');
 DeleteService('{1a6d0cfb-dce2-4165-b21a-b549f29bee27}w64');
 DeleteService('{14437b83-5ae5-4966-894b-e98090a91d75}w64');
 DeleteFile('C:\Windows\system32\drivers\{14437b83-5ae5-4966-894b-e98090a91d75}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{1a6d0cfb-dce2-4165-b21a-b549f29bee27}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{20fb7589-1bd1-4ee0-a9e1-46e14245fb7c}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{30389f51-b968-4243-8e7c-c69cde75ce4d}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{42ad32fb-64da-4848-a5f2-2ed54fc96139}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{4ded1a93-d82c-44f5-b88e-a9db1ee9aee7}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{69c4c7d9-b535-450c-adaf-acc255c3f407}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{6a86ad4e-d1ee-4703-baff-f697dcc0f883}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{7c18b119-d64a-4b8f-90db-d1c5b5ad5acf}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{7f7f2c29-eeca-42c4-8c50-9c6b4697db13}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{83385e72-2cd9-4c38-99f2-28c053447f6a}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{c5443894-a06c-4f6d-8a2d-642fa543dbaa}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{db1fd023-48a0-496d-b896-22f18fc807bb}w64.sys','32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1447921954-7796027-2066643407-1004\Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\Users\My\AppData\Roaming\newnext.me\nengine.dll','32');
 DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
 DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\newSI_620\s_inst.exe','32');
 DeleteFile('C:\Windows\Tasks\newSI_620.job','32');
 DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\Windows\system32\Tasks\newSI_620','64');
 DeleteFile('C:\Windows\system32\Tasks\Ribble','64');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[darkvs]

Новые логи. Первый скрипт выполнился с ошибкой

[mike 1]

1. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
2. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
3. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
4. Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[darkvs]

Файл

[mike 1]

1. Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
2. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
3. Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

[darkvs]

Файл

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[darkvs]

Файлы

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
   
   Код:

   CreateRestorePoint:
   CloseProcesses:
   ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
   GroupPolicy: Restriction - Chrome <======= ATTENTION
   GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
   CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
   HKU\S-1-5-21-1447921954-7796027-2066643407-1005\...\RunOnce: [Report] => \AdwCleaner\AdwCleaner[C1].txt
   Tcpip\..\Interfaces\{BBC6331C-50F4-49F5-86DC-F32B1EA78800}: [NameServer] 127.0.0.1
   S1 {f10732e3-e4ef-4b41-89fc-ab249b166d64}w64; system32\drivers\{f10732e3-e4ef-4b41-89fc-ab249b166d64}w64.sys [X]
   2016-04-04 16:26 - 2016-04-04 16:26 - 03148854 _____ C:\Users\user\AppData\Roaming\1498128E1498128E.bmp
   2016-04-04 14:59 - 2016-04-10 15:06 - 00000000 __SHD C:\Users\Все пользователи\Windows
   2016-04-04 14:59 - 2016-04-10 15:06 - 00000000 __SHD C:\ProgramData\Windows
   2016-04-04 14:58 - 2016-04-04 14:59 - 00002632 _____ C:\Users\user\Downloads\75699akt.gz
   zip:C:\FRST\Quarantine

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен.
5. Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

- - - - -Добавлено - - - - -

Между отчетом Shortcut.txt и Addition.txt вообще-то есть разница!

[darkvs]

Прошу прощения за предыдущий казус. Я читал что Addition.txt при первом запуске. А он уже был далеко не первый. Если требуется я могу его выслать.

[mike 1]

================== Zip: ===================
C:\FRST\Quarantine -> copied successfully to C:\Users\admin\Desktop\Upload.zip
=========== Zip: End ===========

Архив загружали?

[darkvs]

Архив загружали?

Прошу прощения, отправил

[mike 1]

Логи в порядке. Смените все пароли.

С расшифровкой не поможем.

Ознакомиться:

1. http://virusinfo.info/announcement.php?f=46&a=52
2. http://goo.gl/P5TdeY

[darkvs]

Логи в порядке. Смените все пароли.

С расшифровкой не поможем.

Ознакомиться:

1. http://virusinfo.info/announcement.php?f=46&a=52
2. http://goo.gl/P5TdeY

Огромное спасибо!!!!!!!! Насколько я успел прочитать, нет расшифровщика на сегодня.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\programdata\windows\csrss.exe - Trojan-Ransom.Win32.Shade.xl