Собственно словили мы такую заразу, которая наши текстовые, doc, xls, zip и т.п. файлы зашифровала в файлы типа com_lot2023 с раширением *.Support@casinomtgox.com_lot2023. На рабочем столе обнаружили обои с угрозами (картинка bmp, вместе с примерами зашифрованых файлов есть во вложении). Пользователь компьютера клянется и божится, что ни с какими казино дела не имел.
Откат до последней контрольной точки не производили, антивирус NOD32 тоже внезапно пропал, но это скорее всего уже дело рук самого пользователя.

Выложите логи в соответствии с этими (http://forum.oszone.net/post-717373.html) инструкциями.

Высылаю логи в соответствии с инструкцией.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\WINDOWS\Tasks\At2.job','');
QuarantineFile('C:\WINDOWS\Tasks\At1.job','');
QuarantineFile('C:\Program Files\Mozilla Firefox\upd_ext.exe','');
QuarantineFile('C:\DOCUME~1\KONSTA~1\LOCALS~1\Temp\~dmp8518924102265681730.tmp.exe','');
QuarantineFile('C:\Documents and Settings\Konstantin\Главное меню\Программы\Автозагрузка\cs.bmp','');
QuarantineFile('C:\DOCUME~1\KONSTA~1\LOCALS~1\Temp\Временная','');
QuarantineFile('C:\DOCUME~1\KONSTA~1\LOCALS~1\Temp\yupdate.exe-{920BBA05-4D16-4547-BFD8-B0905FA58976}','');
QuarantineFile('C:\DOCUME~1\KONSTA~1\LOCALS~1\Temp\1sysconf.exe','');
DeleteFile('C:\DOCUME~1\KONSTA~1\LOCALS~1\Temp\1sysconf.exe','32');
DeleteFile('C:\DOCUME~1\KONSTA~1\LOCALS~1\Temp\yupdate.exe-{920BBA05-4D16-4547-BFD8-B0905FA58976}','32');
DeleteFile('C:\DOCUME~1\KONSTA~1\LOCALS~1\Temp\Временная','32');
DeleteFile('C:\Documents and Settings\Konstantin\Главное меню\Программы\Автозагрузка\cs.bmp','32');
DeleteFile('C:\DOCUME~1\KONSTA~1\LOCALS~1\Temp\~dmp8518924102265681730.tmp.exe','32');
DeleteFile('C:\WINDOWS\Tasks\7nn9awoacb.job','32');
DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
DeleteFile('C:\WINDOWS\Tasks\At2.job','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Shell22','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Muzbaza','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Green Christmas Tree','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Профиксите (http://safezone.cc/threads/9/) в HijackThis

O17 - HKLM\System\CCS\Services\Tcpip\..\{62218EE1-9EA1-4D14-B6C8-62D80FCA3EFD}: NameServer = 37.10.116.202,8.8.8.8

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

смените пароли, по окончанию лечения смените ещё раз.

Volchonok200, Решите где вы будете продолжать лечение компьютера ! Здесь или на сайте касперского ?
http://forum.kaspersky.com/index.php?showtopic=290165

здесь будем продолжать лечение. Инструкции выполнил, в приложении логи

Господа специалисты, есть ли какой-нибудь вариант решения проблемы? Очень нужно вернуть все зашифрованные файлы в рабочее состояние.

зашифрованный файл и желательно если есть копию но в нормальном виде этого же файла отправить вирус. лабораториям вебу или касперскому и ждать ответа от них.

Ага. У нас тут рулетка, оказывается. И я не угадал, закрыв эту же тему на сайте касперского..

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
посылали карантин? Что-то не вижу его, пришлите ещё раз.

Выслал на почтовый ящик

Посмотрите если у вас есть файл
C:\Program Files\Mozilla Firefox\upd_ext.exe

то проверьте его на virustotal (http://www.virustotal.com/index.html)

+ заархивируйте его в zip архив с паролем virus . Полученный архив отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Нет, такого файла по данному пути не обнаружил. Поиск юзать не могу - не робит непонятно по какой причине

Для вашей версии шифровальщика дешифратора пока нет.

Следите за темой http://forum.drweb.com/index.php?showtopic=315142&page=1%29

на днях обещают дешифратор для вашей версии вируса.