Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Зашифрованы файлы с расширением JUST (http://forum.oszone.net/showthread.php?t=288061)

SurovDN 17-09-2014 11:58 2403879
Зашифрованы файлы с расширением JUST
 
Вложений: 1
Словили вирус . Похож на Trojan.Encoder 68. Многие файлы зашифрованы с добавлением расширения just.
Почти в каждой папке находится текстовик с таким содержанием
Цитата:
Покупка декриптора:payment.cashery@gmail.com
При обращении укажите в теме письма ваш ID:1488321639
Ключ хранится до 20.09.2014
Обращения после 20.09.2014 будут игнорироваться.

Письма обрабатываются автоматической системой.
Возможны задержки ответов
Помогите избавиться. Dr.Web вроде решил данную проблему, но помогает сейчас только пользователям своих продуктов. Много уже инфы перебрал, но пока не справился с данной проблемой. Файл с логами прикрепил. Помогите. Заранее благодарен.

SurovDN 22-09-2014 07:31 2405607
Люди добрые подскажите куда копать. Инфу восстановить нужно.

thyrex 22-09-2014 20:44 2405855
Не уверен, что и DrWeb решил эту проблему :)

Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\Администратор\adobesystem.exe','');
 DeleteFile('C:\Documents and Settings\Администратор\adobesystem.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи

SurovDN 23-09-2014 11:06 2406079
Выполнено.

Sandor 23-09-2014 11:32 2406088
Цитата:
Цитата thyrex
Сделайте новые логи »
Еще это, пожалуйста.

SurovDN 24-09-2014 10:33 2406436
Вложений: 1
+++

thyrex 25-09-2014 18:39 2407010
Еще раз повторите выполнение скрипта из сообщения №3 и сделайте новые логи

SurovDN 29-09-2014 08:17 2408197
Вложений: 1
Выполнил.

thyrex 30-09-2014 19:42 2409001
Скачайте ComboFix здесь и сохраните на Рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

SurovDN 01-10-2014 11:40 2409340
Вложений: 1
Готово.

thyrex 01-10-2014 19:57 2409599
Плохого не видно

С расшифровкой не поможем

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду C:\Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt, запустите, нажмите Clean up

SurovDN 02-10-2014 07:20 2409779
И когда проблема была обнаружена, ничего не нашел. Вирус зашифровал файлы и самоуничтожился. Констатируем факт - решений нет?

thyrex 02-10-2014 20:36 2410222
Без обращения к злоумышленникам -нет

SurovDN 03-10-2014 05:13 2410377
По этому пути тоже пошли. Молчат. Не отвечают.


Время: 10:01.

Время: 10:01.
© OSzone.net 2001-