Здравствуйте! Помогите пожалуйста удалить вирус и расшифровать файлы.
Здравствуйте! Помогите пожалуйста удалить вирус и расшифровать файлы.
Уважаемый(ая) salutt, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
browser tab search by ask удалите через Установку программ
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Salut\appdata\roaming\mail.ru newgamest\api.dll',''); QuarantineFile('C:\Users\Salut\AppData\Roaming\runWIN\Update.exe',''); QuarantineFile('C:\Users\Salut\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe',''); QuarantineFile('C:\Users\Salut\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe',''); QuarantineFile('C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\safetycrt.dll',''); QuarantineFile('C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\x64\safetycrt.dll',''); SetServiceStart('F06DEFF2-5B9C-490D-910F-35D3A91196222', 4); DeleteService('F06DEFF2-5B9C-490D-910F-35D3A91196222'); SetServiceStart('SafetyNutManager', 4); DeleteService('SafetyNutManager'); QuarantineFile('C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\x64\configmgrc2.cfg',''); QuarantineFile('c:\program files (x86)\trackchecker\trackchecker.exe',''); TerminateProcessByName('c:\program files (x86)\browser tab search by ask\safetynut\safetynutmanager.exe'); QuarantineFile('c:\program files (x86)\browser tab search by ask\safetynut\safetynutmanager.exe',''); TerminateProcessByName('c:\program files (x86)\browser tab search by ask\safetynut\safetynut.exe'); QuarantineFile('c:\program files (x86)\browser tab search by ask\safetynut\safetynut.exe',''); DeleteFile('c:\program files (x86)\browser tab search by ask\safetynut\safetynut.exe','32'); DeleteFile('c:\program files (x86)\browser tab search by ask\safetynut\safetynutmanager.exe','32'); DeleteFile('C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\x64\configmgrc2.cfg','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x86'); DeleteFile('C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\x64\safetycrt.dll','32'); DeleteFile('C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\safetycrt.dll','32'); DeleteFile('C:\Users\Salut\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32'); DeleteFile('C:\Users\Salut\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32'); DeleteFile('C:\Users\Salut\AppData\Roaming\runWIN\Update.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt'); DeleteFile('C:\Users\Salut\appdata\roaming\mail.ru newgamest\api.dll','32'); DeleteFileMask('C:\Users\Salut\AppData\Roaming\runWIN', '*', true); DeleteDirectory('C:\Users\Salut\AppData\Roaming\runWIN'); DeleteFileMask('C:\Users\Salut\AppData\Roaming\Mail.RU NewGamesT', '*', true); DeleteDirectory('C:\Users\Salut\AppData\Roaming\Mail.RU NewGamesT'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин загружен под таким именем 141009_190605_virus_5436dc9dbd4f6.zip
browser tab search by ask удалил, скрипт запустил.
Последний раз редактировалось salutt; 10.10.2014 в 00:02. Причина: Дополнение сообщения
Поместите в карантин МВАМ только
Код:Registry Keys: 1 PUP.Optional.Datamngr.A, HKU\S-1-5-21-2391820535-3708702184-2182002281-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}, , [df6933dfc0bc42f41ef53b9808fa6d93], Folders: 4 PUP.Optional.Ask.A, C:\Users\Salut\AppData\Roaming\Browser Tab Search by Ask, , [aa9e4dc5037983b378c444bd798a7c84], PUP.Optional.Ask.A, C:\Users\Salut\AppData\Roaming\Browser Tab Search by Ask\SafetyNut, , [aa9e4dc5037983b378c444bd798a7c84], PUP.Optional.Ask.A, C:\Users\Salut\AppData\Roaming\Browser Tab Search by Ask\SafetyNut\components, , [aa9e4dc5037983b378c444bd798a7c84], PUP.Optional.Ask.A, C:\Users\Salut\AppData\Roaming\Browser Tab Search by Ask\SafetyNut\content, , [aa9e4dc5037983b378c444bd798a7c84], Files: 25 Backdoor.MSIL.PGen, C:\Users\Salut\Desktop\avz4\avz4\Quarantine\2014-10-09\avz00002.dta, , [f751a86ac4b8b185af2326747f81e020], Worm.Agent.LSA, C:\Win\lsass.exe, , [e1673cd65725270fb454bfa2e819619f], Worm.AutoIT, C:\Win\names.txt, , [e7614ec47606f93d7269c1cc8f74c53b], PUP.Optional.Ask.A, C:\Users\Salut\AppData\Roaming\Browser Tab Search by Ask\SafetyNut\chrome.manifest, , [aa9e4dc5037983b378c444bd798a7c84], PUP.Optional.Ask.A, C:\Users\Salut\AppData\Roaming\Browser Tab Search by Ask\SafetyNut\install.rdf, , [aa9e4dc5037983b378c444bd798a7c84], PUP.Optional.Ask.A, C:\Users\Salut\AppData\Roaming\Browser Tab Search by Ask\SafetyNut\components\SafetyNutHlpFF.xpt, , [aa9e4dc5037983b378c444bd798a7c84], PUP.Optional.Ask.A, C:\Users\Salut\AppData\Roaming\Browser Tab Search by Ask\SafetyNut\content\DnsBHO.js, , [aa9e4dc5037983b378c444bd798a7c84], PUP.Optional.Ask.A, C:\Users\Salut\AppData\Roaming\Browser Tab Search by Ask\SafetyNut\content\Error404BHO.js, , [aa9e4dc5037983b378c444bd798a7c84], PUP.Optional.Ask.A, C:\Users\Salut\AppData\Roaming\Browser Tab Search by Ask\SafetyNut\content\MainBHO.js, , [aa9e4dc5037983b378c444bd798a7c84], PUP.Optional.Ask.A, C:\Users\Salut\AppData\Roaming\Browser Tab Search by Ask\SafetyNut\content\NativeHelper.js, , [aa9e4dc5037983b378c444bd798a7c84], PUP.Optional.Ask.A, C:\Users\Salut\AppData\Roaming\Browser Tab Search by Ask\SafetyNut\content\NewTabBHO.js, , [aa9e4dc5037983b378c444bd798a7c84], PUP.Optional.Ask.A, C:\Users\Salut\AppData\Roaming\Browser Tab Search by Ask\SafetyNut\content\overlay.js, , [aa9e4dc5037983b378c444bd798a7c84], PUP.Optional.Ask.A, C:\Users\Salut\AppData\Roaming\Browser Tab Search by Ask\SafetyNut\content\overlay.xul, , [aa9e4dc5037983b378c444bd798a7c84], PUP.Optional.Ask.A, C:\Users\Salut\AppData\Roaming\Browser Tab Search by Ask\SafetyNut\content\RelatedSearch.js, , [aa9e4dc5037983b378c444bd798a7c84], PUP.Optional.Ask.A, C:\Users\Salut\AppData\Roaming\Browser Tab Search by Ask\SafetyNut\content\RequestPreserver.js, , [aa9e4dc5037983b378c444bd798a7c84], PUP.Optional.Ask.A, C:\Users\Salut\AppData\Roaming\Browser Tab Search by Ask\SafetyNut\content\SearchBHO.js, , [aa9e4dc5037983b378c444bd798a7c84], PUP.Optional.Ask.A, C:\Users\Salut\AppData\Roaming\Browser Tab Search by Ask\SafetyNut\content\SettingManager.js, , [aa9e4dc5037983b378c444bd798a7c84], PUP.Optional.Ask.A, C:\Users\Salut\AppData\Roaming\Mozilla\Firefox\Profiles\osutfddh.default\prefs.js, Good: (), Bad: (user_pref("keyword.URL", "http://dts.search.ask.com/sr?src=ffb&gct=ds&appid=128&systemid=488&v=a13277-395&apn_dtid=TCH001&apn_ptnrs=AG1&apn_uid=7563324445424372&o=APN11459&q=");), ,[ef5938da88f4ea4cc28892bb21e40df3]
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вроде все правильно сделал. В MBAM эти файлы оставил в карантине, остальные убрал из карантина
- - - - -Добавлено - - - - -
Расшифровать документы и фотографии не реально?
Последний раз редактировалось salutt; 10.10.2014 в 01:02.
Сделайте новый лог сканирования MBAM
Пробуйте RakhniDecryptor
Дешифратор от Касперского не помогает(((
MBAM деинсталируйте.
прочитайте эту статью http://virusinfo.info/showthread.php?t=164586 возможно поможет получить нужный ключ для расшировки в ходе обыска у авторов трояна.
Спасибо за помощь.
+ - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Спасибо.
Сегодня получил ключ от злодея, решил выложить для пополнения вашей базы. 6EA3F8D0293817EE410805C57EB949585B1153D7C1E0DC7EDC 2478AD906BFCC6
Спасибо, ушел в вирлаб
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 18
- В ходе лечения обнаружены вредоносные программы:
- c:\users\salut\appdata\roaming\mail.ru newgamest\api.dll - Trojan-Ransom.MSIL.Lortok.p
- c:\users\salut\appdata\roaming\mail.ru newgamest\encrypt.exe - Trojan-Ransom.MSIL.Lortok.az ( BitDefender: Gen:Variant.Kazy.465958, AVAST4: Win32:Malware-gen )
- c:\win\lsass.exe - Worm.Win32.AutoIt.agm ( BitDefender: Trojan.Generic.7937431, AVAST4: Win32:Sality )
Уважаемый(ая) salutt, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.