Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   файлы зашифрованы с расширением *.Support@casinomtgox.com_lot2023 (http://forum.oszone.net/showthread.php?t=279074)

Volchonok200 11-03-2014 16:23 2322114
файлы зашифрованы с расширением *.Support@casinomtgox.com_lot2023
 
Собственно словили мы такую заразу, которая наши текстовые, doc, xls, zip и т.п. файлы зашифровала в файлы типа com_lot2023 с раширением *.Support@casinomtgox.com_lot2023. На рабочем столе обнаружили обои с угрозами (картинка bmp, вместе с примерами зашифрованых файлов есть во вложении). Пользователь компьютера клянется и божится, что ни с какими казино дела не имел.
Откат до последней контрольной точки не производили, антивирус NOD32 тоже внезапно пропал, но это скорее всего уже дело рук самого пользователя.

iskander-k 11-03-2014 19:20 2322186
Выложите логи в соответствии с этими инструкциями.

Volchonok200 12-03-2014 10:24 2322438
Вложений: 1
Высылаю логи в соответствии с инструкцией.

regist 12-03-2014 16:48 2322661
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\WINDOWS\Tasks\At2.job','');
 QuarantineFile('C:\WINDOWS\Tasks\At1.job','');
 QuarantineFile('C:\Program Files\Mozilla Firefox\upd_ext.exe','');
 QuarantineFile('C:\DOCUME~1\KONSTA~1\LOCALS~1\Temp\~dmp8518924102265681730.tmp.exe','');
 QuarantineFile('C:\Documents and Settings\Konstantin\Главное меню\Программы\Автозагрузка\cs.bmp','');
 QuarantineFile('C:\DOCUME~1\KONSTA~1\LOCALS~1\Temp\Временная','');
 QuarantineFile('C:\DOCUME~1\KONSTA~1\LOCALS~1\Temp\yupdate.exe-{920BBA05-4D16-4547-BFD8-B0905FA58976}','');
 QuarantineFile('C:\DOCUME~1\KONSTA~1\LOCALS~1\Temp\1sysconf.exe','');
 DeleteFile('C:\DOCUME~1\KONSTA~1\LOCALS~1\Temp\1sysconf.exe','32');
 DeleteFile('C:\DOCUME~1\KONSTA~1\LOCALS~1\Temp\yupdate.exe-{920BBA05-4D16-4547-BFD8-B0905FA58976}','32');
 DeleteFile('C:\DOCUME~1\KONSTA~1\LOCALS~1\Temp\Временная','32');
 DeleteFile('C:\Documents and Settings\Konstantin\Главное меню\Программы\Автозагрузка\cs.bmp','32');
 DeleteFile('C:\DOCUME~1\KONSTA~1\LOCALS~1\Temp\~dmp8518924102265681730.tmp.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\7nn9awoacb.job','32');
 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
 DeleteFile('C:\WINDOWS\Tasks\At2.job','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Shell22','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Muzbaza','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Green Christmas Tree','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Профиксите в HijackThis

Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{62218EE1-9EA1-4D14-B6C8-62D80FCA3EFD}: NameServer = 37.10.116.202,8.8.8.8
Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

смените пароли, по окончанию лечения смените ещё раз.

iskander-k 12-03-2014 22:30 2322784
Volchonok200, Решите где вы будете продолжать лечение компьютера ! Здесь или на сайте касперского ?
http://forum.kaspersky.com/index.php?showtopic=290165

Volchonok200 13-03-2014 16:39 2323085
Вложений: 1
здесь будем продолжать лечение. Инструкции выполнил, в приложении логи

Volchonok200 17-03-2014 15:35 2324847
Господа специалисты, есть ли какой-нибудь вариант решения проблемы? Очень нужно вернуть все зашифрованные файлы в рабочее состояние.

iskander-k 18-03-2014 00:35 2325023
зашифрованный файл и желательно если есть копию но в нормальном виде этого же файла отправить вирус. лабораториям вебу или касперскому и ждать ответа от них.

Volchonok200 18-03-2014 09:28 2325113
Ага. У нас тут рулетка, оказывается. И я не угадал, закрыв эту же тему на сайте касперского..

regist 18-03-2014 11:50 2325162
Цитата:
Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
посылали карантин? Что-то не вижу его, пришлите ещё раз.

Volchonok200 19-03-2014 10:01 2325575
Выслал на почтовый ящик

regist 19-03-2014 13:01 2325654
Посмотрите если у вас есть файл
Код:
C:\Program Files\Mozilla Firefox\upd_ext.exe
то проверьте его на virustotal

+ заархивируйте его в zip архив с паролем virus . Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Volchonok200 19-03-2014 16:56 2325785
Нет, такого файла по данному пути не обнаружил. Поиск юзать не могу - не робит непонятно по какой причине

iskander-k 25-03-2014 02:16 2328156
Для вашей версии шифровальщика дешифратора пока нет.

Следите за темой http://forum.drweb.com/index.php?sho...5142&page=1%29

на днях обещают дешифратор для вашей версии вируса.


Время: 09:34.

Время: 09:34.
© OSzone.net 2001-