Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.67/3: Рейтинг темы: голосов - 3, средняя оценка - 4.67
sve-sol
0 / 0 / 0
Регистрация: 08.04.2016
Сообщений: 4
1

Файлы стали с расширением Better_call_saul

08.04.2016, 09:48. Просмотров 507. Ответов 7
Метки нет (Все метки)

Добрый.
На почтовый ящик предприятия в бухгалтерию пришло письмо с файлом , открыла его и все файлы стали с расширением Better_call_saul.
Администратор сети сказал, что это сейчас неизлечимо.
На Вашем форуме увидела, что помощь есть.
Проблема в том, что я плохо разбираюсь в том, что такое логи и прочее.
Но если есть возможность помочь, я готова все прочесть и сделать. Хотя наверное со мной времени уйдет больше
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
08.04.2016, 09:48
Ответы с готовыми решениями:

Файлы стали зашифрованы Better_call_saul
Добрый День.Получила письмо с файлом , открыла его и все. ВСЕ файлы стали...

Файлы зашифрованы better_call_saul
Файлы зашифрованы better_call_saul Ваши файлы были зашифрованы. Чтобы...

Файлы зашифрованы better_call_saul
Подхватил вирус-шифровальщик, предположительно через вложение в электронной...

Файлы зашифрованы вирусом better_call_saul
Здравствуйте! Файлы оказались зашифрованы вирусом better_call_saul. Операционка...

Слетели все файлы и 1С (пишет better_call_saul)
Здравствуйте, бухгалтер скачала письмо и распаковала зип папку, теперь на копме...

7
Sandor
Вирусоборец
13019 / 11265 / 1732
Регистрация: 08.10.2012
Сообщений: 45,521
08.04.2016, 09:59 2
Здравствуйте!

Внимательно прочтите Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

Будут вопросы, задавайте.
0
sve-sol
0 / 0 / 0
Регистрация: 08.04.2016
Сообщений: 4
09.04.2016, 17:23  [ТС] 3
Логи
0
Вложения
Тип файла: zip CollectionLog-2016.04.09-17.21.zip (123.0 Кб, 1 просмотров)
thyrex
Вирусоборец
7320 / 4876 / 760
Регистрация: 06.09.2009
Сообщений: 19,520
10.04.2016, 08:27 4
Выполните скрипт в AVZ
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\S9511~1.SOL\AppData\Local\Temp\3fdd2.exe','');
 DeleteFile('C:\Users\S9511~1.SOL\AppData\Local\Temp\3fdd2.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\0vqyxmfl.bak','64');
 DeleteFile('C:\Windows\Tasks\0vqyxmfl.job','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!


Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
0
sve-sol
0 / 0 / 0
Регистрация: 08.04.2016
Сообщений: 4
11.04.2016, 23:15  [ТС] 5
новые логи
0
Вложения
Тип файла: zip CollectionLog-2016.04.11-23.08.zip (124.6 Кб, 1 просмотров)
thyrex
Вирусоборец
7320 / 4876 / 760
Регистрация: 06.09.2009
Сообщений: 19,520
12.04.2016, 09:11 6
Скачайте Farbar Recovery Scan Tool http://i.imgur.com/NAAC5Ba.png и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
http://i.imgur.com/3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
0
sve-sol
0 / 0 / 0
Регистрация: 08.04.2016
Сообщений: 4
12.04.2016, 11:50  [ТС] 7
логи
0
Вложения
Тип файла: rar Logs.rar (51.4 Кб, 1 просмотров)
thyrex
Вирусоборец
7320 / 4876 / 760
Регистрация: 06.09.2009
Сообщений: 19,520
14.04.2016, 19:20 8
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код
CreateRestorePoint:
CHR HKU\S-1-5-21-343315248-1060588499-3913225077-1474\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-343315248-1060588499-3913225077-1474 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR Plugin: (Shockwave Flash) - C:\Users\s.solovieva\AppData\Local\Google\Chrome\Application\21.0.1180.89\PepperFlash\pepflashplayer.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Users\s.solovieva\AppData\Local\Google\Chrome\Application\49.0.2623.110\gcswf32.dll => No File
CHR Plugin: (Native Client) - C:\Users\s.solovieva\AppData\Local\Google\Chrome\Application\49.0.2623.110\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Users\s.solovieva\AppData\Local\Google\Chrome\Application\49.0.2623.110\pdf.dll => No File
CHR Plugin: (Google Update) - C:\Users\s.solovieva\AppData\Local\Google\Update\1.3.21.111\npGoogleUpdate3.dll => No File
CHR Plugin: (Silverlight Plug-In) - c:\Program Files (x86)\Microsoft Silverlight\4.0.50401.0\npctrl.dll => No File
CHR HKLM-x32\...\Chrome\Extension: [clpdgmdkdnijjbgmnajolnbnjejoeogm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dhngkpgdbpbkopndlpkicfaiffphdkbo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
2016-03-22 10:41 - 2016-03-23 07:33 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-03-22 10:41 - 2016-03-23 07:33 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\s.solovieva\AppData\Local\Temp\1-20150313-152755.exe
C:\Users\s.solovieva\AppData\Local\Temp\bgn.exe
C:\Users\s.solovieva\AppData\Local\Temp\utt7F23.tmp.exe
C:\Users\s.solovieva\AppData\Local\Temp\utt995D.tmp.exe
C:\Users\s.solovieva\AppData\Local\Temp\utt9CFC.tmp.exe
CustomCLSID: HKU\S-1-5-21-343315248-1060588499-3913225077-1474_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\s.solovieva\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-343315248-1060588499-3913225077-1474_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\s.solovieva\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-343315248-1060588499-3913225077-1474_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\s.solovieva\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-343315248-1060588499-3913225077-1474_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\s.solovieva\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-343315248-1060588499-3913225077-1474_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\s.solovieva\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-343315248-1060588499-3913225077-1474_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\s.solovieva\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-343315248-1060588499-3913225077-1474_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\s.solovieva\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-343315248-1060588499-3913225077-1474_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\s.solovieva\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-343315248-1060588499-3913225077-1474_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\s.solovieva\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-343315248-1060588499-3913225077-1474_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\s.solovieva\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-343315248-1060588499-3913225077-1474_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\s.solovieva\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => No File
Task: {B709D69D-BDF6-4F30-A2DC-F8911722432B} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\s.solovieva:id [32]
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
0
14.04.2016, 19:20
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
14.04.2016, 19:20

Вирус-шифровальщик, все файлы имееют расширение .better_call_saul
Было получено письмо со счетом на электронную почту, файл открыл, после этого...

Столкнулся в первые с вирусом, который шифрует файлы, *.better_call_saul (Лучше звоните солу)
Доброго времени суток. Столкнулся в первые с вирусом, который шифрует файлы, а...

На почту пришел файл после открытия которого все файлы превратились в файлы с расширением 1TXT
Прошу помощи, на почту пришел файл после открытия которого все файлы...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
8
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru