Здравствуйте! Вирус зашифровал файлы. Расширение better_call_saul. Расшифровать навряд ли удастся. Ну хоть вылечиться.
Здравствуйте! Вирус зашифровал файлы. Расширение better_call_saul. Расшифровать навряд ли удастся. Ну хоть вылечиться.
Уважаемый(ая) darkvs, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); DeleteService('{db1fd023-48a0-496d-b896-22f18fc807bb}w64'); DeleteService('{c5443894-a06c-4f6d-8a2d-642fa543dbaa}w64'); DeleteService('{83385e72-2cd9-4c38-99f2-28c053447f6a}w64'); DeleteService('{7f7f2c29-eeca-42c4-8c50-9c6b4697db13}w64'); DeleteService('{7c18b119-d64a-4b8f-90db-d1c5b5ad5acf}w64'); DeleteService('{6a86ad4e-d1ee-4703-baff-f697dcc0f883}w64'); DeleteService('{69c4c7d9-b535-450c-adaf-acc255c3f407}w64'); DeleteService('{4ded1a93-d82c-44f5-b88e-a9db1ee9aee7}w64'); DeleteService('{42ad32fb-64da-4848-a5f2-2ed54fc96139}w64'); DeleteService('{30389f51-b968-4243-8e7c-c69cde75ce4d}w64'); DeleteService('{29b136c9-938d-4d3d-8df8-d649d9b74d02}w64'); DeleteService('{20fb7589-1bd1-4ee0-a9e1-46e14245fb7c}w64'); DeleteService('{1a6d0cfb-dce2-4165-b21a-b549f29bee27}w64'); DeleteService('{14437b83-5ae5-4966-894b-e98090a91d75}w64'); DeleteFile('C:\Windows\system32\drivers\{14437b83-5ae5-4966-894b-e98090a91d75}w64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{1a6d0cfb-dce2-4165-b21a-b549f29bee27}w64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{20fb7589-1bd1-4ee0-a9e1-46e14245fb7c}w64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}w64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{30389f51-b968-4243-8e7c-c69cde75ce4d}w64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{42ad32fb-64da-4848-a5f2-2ed54fc96139}w64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{4ded1a93-d82c-44f5-b88e-a9db1ee9aee7}w64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{69c4c7d9-b535-450c-adaf-acc255c3f407}w64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{6a86ad4e-d1ee-4703-baff-f697dcc0f883}w64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{7c18b119-d64a-4b8f-90db-d1c5b5ad5acf}w64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{7f7f2c29-eeca-42c4-8c50-9c6b4697db13}w64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{83385e72-2cd9-4c38-99f2-28c053447f6a}w64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{c5443894-a06c-4f6d-8a2d-642fa543dbaa}w64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{db1fd023-48a0-496d-b896-22f18fc807bb}w64.sys','32'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1447921954-7796027-2066643407-1004\Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); DeleteFile('C:\Users\My\AppData\Roaming\newnext.me\nengine.dll','32'); DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32'); DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32'); DeleteFile('C:\Users\Администратор\AppData\Roaming\newSI_620\s_inst.exe','32'); DeleteFile('C:\Windows\Tasks\newSI_620.job','32'); DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Windows\system32\Tasks\newSI_620','64'); DeleteFile('C:\Windows\system32\Tasks\Ribble','64'); ExecuteSysClean; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Новые логи. Первый скрипт выполнился с ошибкой
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Файл
- Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Подробнее читайте в этом руководстве.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Файл
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Файлы
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
- Временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Restriction - Chrome <======= ATTENTION GroupPolicy-x32: Restriction - Chrome <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKU\S-1-5-21-1447921954-7796027-2066643407-1005\...\RunOnce: [Report] => \AdwCleaner\AdwCleaner[C1].txt Tcpip\..\Interfaces\{BBC6331C-50F4-49F5-86DC-F32B1EA78800}: [NameServer] 127.0.0.1 S1 {f10732e3-e4ef-4b41-89fc-ab249b166d64}w64; system32\drivers\{f10732e3-e4ef-4b41-89fc-ab249b166d64}w64.sys [X] 2016-04-04 16:26 - 2016-04-04 16:26 - 03148854 _____ C:\Users\user\AppData\Roaming\1498128E1498128E.bmp 2016-04-04 14:59 - 2016-04-10 15:06 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-04-04 14:59 - 2016-04-10 15:06 - 00000000 __SHD C:\ProgramData\Windows 2016-04-04 14:58 - 2016-04-04 14:59 - 00002632 _____ C:\Users\user\Downloads\75699akt.gz zip:C:\FRST\Quarantine- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
- Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
- - - - -Добавлено - - - - -
Между отчетом Shortcut.txt и Addition.txt вообще-то есть разница!
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Прошу прощения за предыдущий казус. Я читал что Addition.txt при первом запуске. А он уже был далеко не первый. Если требуется я могу его выслать.
Архив загружали?================== Zip: ===================
C:\FRST\Quarantine -> copied successfully to C:\Users\admin\Desktop\Upload.zip
=========== Zip: End ===========
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Логи в порядке. Смените все пароли.
С расшифровкой не поможем.
Ознакомиться:
1. http://virusinfo.info/announcement.php?f=46&a=52
2. http://goo.gl/P5TdeY
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\programdata\windows\csrss.exe - Trojan-Ransom.Win32.Shade.xl
Уважаемый(ая) darkvs, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.