Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.80/5: Рейтинг темы: голосов - 5, средняя оценка - 4.80
spaun26
0 / 0 / 0
Регистрация: 13.04.2016
Сообщений: 4
1

Жертва better_call_saul

13.04.2016, 19:52. Просмотров 946. Ответов 7
Метки нет (Все метки)

Дело было так.
Утром на работе, зашла сотрудница в просмотр почты, а там письмо для бухгалтера об отчетах. Решила посмотреть и переслать. и началось: файлы на ноутбуке переменовались и не открываются, на рабочем столе красная надпись на черном фоне "внимание! все важные файлы на всех дисках вашего компьютера были зашифрованы. подробности вы можете прочитать в файлах readme.txt, которые можно найти на любом из дисков." Так и есть, абсолютны все файлы зашифрованы, имена нечитаемы и у всех одинаковое расширение better_call_saul. Тут же кто-то из сотрудников чухнулся, что в его папке уже на другом сетевом диске наблюдается такая же картина и чуть ли не на глазах файлы сами собой переименовываются. Сразу всем сказали выключить компьютеры.
0
Вложения
Тип файла: zip CollectionLog-2016.04.13-23.49.zip (86.9 Кб, 4 просмотров)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
13.04.2016, 19:52
Ответы с готовыми решениями:

Шифровщик BETTER_CALL_SAUL
В результате открытия вложения из письма вирус BETTER_CALL_SAUL зашифровал все...

Поймал better_call_saul
Добрый день! Получил по почте сообщение - "У Вас имеется задолженность" и...

Вирус .better_call_saul
Здравствуйте. Помогите нейтрализовать и если это возможно, расшифровать...

Расширение Better_call_saul. SOS!
Добрый день! По почте пришло письмо, открыла его все файлы стали с расширением...

Вирус-шифровальщик better_call_saul
Доброго времени суток! Многие файлы оказались зашифрованы вирусом...

7
Sandor
Вирусоборец
13002 / 11256 / 1724
Регистрация: 08.10.2012
Сообщений: 45,464
14.04.2016, 09:59 2
Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя spaun26. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
____________________________________________

1. Через Панель управления - Удаление программ - удалите нежелательное ПО:
GamesDesktop 033.004010051
Sweet Page
2. Подготовьте и прикрепите лог сканирования AdwCleaner.
0
spaun26
0 / 0 / 0
Регистрация: 13.04.2016
Сообщений: 4
14.04.2016, 10:14  [ТС] 3
Здравствуйте, файл готов.
0
Вложения
Тип файла: txt AdwCleaner[S1].txt (18.4 Кб, 2 просмотров)
Sandor
Вирусоборец
13002 / 11256 / 1724
Регистрация: 08.10.2012
Сообщений: 45,464
14.04.2016, 11:56 4
1.
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.


2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.
0
spaun26
0 / 0 / 0
Регистрация: 13.04.2016
Сообщений: 4
14.04.2016, 12:21  [ТС] 5
отчет готов
0
Вложения
Тип файла: txt AdwCleaner[C1].txt (15.9 Кб, 2 просмотров)
Тип файла: zip FRST.zip (39.8 Кб, 2 просмотров)
Sandor
Вирусоборец
13002 / 11256 / 1724
Регистрация: 08.10.2012
Сообщений: 45,464
14.04.2016, 12:40 6
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Windows Batch file
start
CreateRestorePoint:
HKU\S-1-5-21-436374069-1425521274-1801674531-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
BHO: No Name -> {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -> No File
Toolbar: HKU\S-1-5-21-436374069-1425521274-1801674531-500 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-436374069-1425521274-1801674531-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF DefaultSearchEngine: Search Here
FF Extension: No Name - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\0gyr9b8a.default\extensions\addon@defaulttab.com.xpi [not found]
FF Extension: No Name - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\0gyr9b8a.default\extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2016-04-14]
FF Extension: No Name - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\0gyr9b8a.default\extensions\yasearch@yandex.ru.xpi [not found]
FF Extension: No Name - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\0gyr9b8a.default\extensions\vb@yandex.ru.xpi [not found]
FF Extension: No Name - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\0gyr9b8a.default\Extensions\t@FPEwpxb.org [2016-04-12] [not signed]
FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff => not found
2016-04-12 09:50 - 2016-04-12 21:08 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\Upffmedia
2016-04-12 09:49 - 2016-04-13 02:25 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\Abjzworks
2016-04-12 09:48 - 2016-04-12 09:48 - 04320054 _____ C:\Documents and Settings\Admin\Application Data\AB48F06AAB48F06A.bmp
2016-04-12 09:48 - 2016-04-12 09:48 - 00002716 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2016-04-12 09:48 - 2016-04-12 09:48 - 00002716 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2016-04-12 09:48 - 2016-04-12 09:48 - 00002716 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2016-04-12 09:48 - 2016-04-12 09:48 - 00002716 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2016-04-12 09:48 - 2016-04-12 09:48 - 00002716 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2016-04-12 09:48 - 2016-04-12 09:48 - 00002716 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2016-04-12 09:48 - 2016-04-12 09:48 - 00002716 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2016-04-12 09:48 - 2016-04-12 09:48 - 00002716 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2016-04-12 09:48 - 2016-04-12 09:48 - 00002716 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2016-04-12 09:48 - 2016-04-12 09:48 - 00002716 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2016-04-12 09:48 - 2016-04-12 09:48 - 00002716 _____ C:\Documents and Settings\Admin\Рабочий стол\README9.txt
2016-04-12 09:48 - 2016-04-12 09:48 - 00002716 _____ C:\Documents and Settings\Admin\Рабочий стол\README8.txt
2016-04-12 09:48 - 2016-04-12 09:48 - 00002716 _____ C:\Documents and Settings\Admin\Рабочий стол\README7.txt
2016-04-12 09:48 - 2016-04-12 09:48 - 00002716 _____ C:\Documents and Settings\Admin\Рабочий стол\README6.txt
2016-04-12 09:48 - 2016-04-12 09:48 - 00002716 _____ C:\Documents and Settings\Admin\Рабочий стол\README5.txt
2016-04-12 09:48 - 2016-04-12 09:48 - 00002716 _____ C:\Documents and Settings\Admin\Рабочий стол\README4.txt
2016-04-12 09:48 - 2016-04-12 09:48 - 00002716 _____ C:\Documents and Settings\Admin\Рабочий стол\README3.txt
2016-04-12 09:48 - 2016-04-12 09:48 - 00002716 _____ C:\Documents and Settings\Admin\Рабочий стол\README2.txt
2016-04-12 09:48 - 2016-04-12 09:48 - 00002716 _____ C:\Documents and Settings\Admin\Рабочий стол\README10.txt
2016-04-12 09:48 - 2016-04-12 09:48 - 00002716 _____ C:\Documents and Settings\Admin\Рабочий стол\README1.txt
2016-04-12 08:43 - 2016-04-12 08:43 - 00002716 _____ C:\README9.txt
2016-04-12 08:43 - 2016-04-12 08:43 - 00002716 _____ C:\README8.txt
2016-04-12 08:43 - 2016-04-12 08:43 - 00002716 _____ C:\README7.txt
2016-04-12 08:43 - 2016-04-12 08:43 - 00002716 _____ C:\README6.txt
2016-04-12 08:43 - 2016-04-12 08:43 - 00002716 _____ C:\README5.txt
2016-04-12 08:43 - 2016-04-12 08:43 - 00002716 _____ C:\README4.txt
2016-04-12 08:43 - 2016-04-12 08:43 - 00002716 _____ C:\README3.txt
2016-04-12 08:43 - 2016-04-12 08:43 - 00002716 _____ C:\README2.txt
2016-04-12 08:43 - 2016-04-12 08:43 - 00002716 _____ C:\README10.txt
2016-04-12 08:43 - 2016-04-12 08:43 - 00002716 _____ C:\README1.txt
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
0
spaun26
0 / 0 / 0
Регистрация: 13.04.2016
Сообщений: 4
14.04.2016, 14:21  [ТС] 7
отчет
0
Вложения
Тип файла: txt Fixlog.txt (10.5 Кб, 3 просмотров)
Sandor
Вирусоборец
13002 / 11256 / 1724
Регистрация: 08.10.2012
Сообщений: 45,464
14.04.2016, 14:38 8
С расшифровкой не поможем.
0
14.04.2016, 14:38
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
14.04.2016, 14:38

Файлы зашифрованы better_call_saul
Файлы зашифрованы better_call_saul Ваши файлы были зашифрованы. Чтобы...

Файлы зашифрованы better_call_saul
Подхватил вирус-шифровальщик, предположительно через вложение в электронной...

Вирус-шифровальщик better_call_saul
Добрый день! После открытия письма по электронной почте компьютер был заражен...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
8
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru