Вирус зашифровал файлы AES256 [Trojan-Ransom.MSIL.Lortok.p ]

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

1. Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите sitlog.exe
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
5. По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
6. Прикрепите эти отчеты в вашей теме.

[Maks Crimea]

Сделал

[mike 1]

1. Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите FixerBro
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. В главном окне программы нажмите на кнопку "Проверить"
5. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
6. По окончанию сканирования нажмите на кнопку "Отчет".
7. Сохраните лог утилиты
8. Прикрепите сохраненный отчет в вашей теме.

Скачайте ComboFix здесь и сохраните в корень диска С.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

[Maks Crimea]

Mike 1, благодарю за Вашу помощь! Отправляю логи

[mike 1]

1. Запустите повторно FixerBro by glax24.
   Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
2. Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.
   
   
   Код:

   C:\Users\Home\Desktop\Utility\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat "http://1kanal.org/?src=hp1"]
   C:\Users\Home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk [C:\Program Files\Internet Explorer\iexplore.exe.bat "http://1kanal.org/?src=hp1"]
   C:\Users\Home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://1kanal.org/?src=hp1"]
   C:\Users\Home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://1kanal.org/?src=hp1"]
   C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat "http://1kanal.org/?src=hp1"]
   C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://1kanal.org/?src=hp1"]
   C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat "http://1kanal.org/?src=hp1"]
   C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk [C:\Users\Home\AppData\Roaming\Browsers\iexplore.exe.bat "http://1kanal.org/?src=hp1"]
   C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (3).lnk [C:\Users\Home\AppData\Roaming\Browsers\iexplore.exe.bat "http://1kanal.org/?src=hp1"]
   C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk [C:\Users\Home\AppData\Roaming\Browsers\iexplore.exe.bat "http://1kanal.org/?src=hp1"]
   C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk [C:\Program Files (x86)\Mozilla Firefox\firefox.exe.bat "http://1kanal.org/?src=hp1"]
   C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.15 1748.lnk [C:\Program Files (x86)\Opera\opera.exe.bat "http://1kanal.org/?src=hp1"]
   C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk [C:\Program Files (x86)\Mozilla Firefox\firefox.exe.bat "http://1kanal.org/?src=hp1"]
   C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk [C:\Program Files (x86)\Opera\opera.exe.bat "http://1kanal.org/?src=hp1"]
   C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat "http://1kanal.org/?src=hp1"]

3. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).
4. По окончанию удаления нажмите на кнопку "Отчет"
5. Сохраните лог утилиты
6. Прикрепите сохраненный отчет в вашей теме.

В браузере удалите эти расширения:

HD-V2.2V11.10 - (C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Pro files\9zessehq.default\Extensions\0cd1569197354ecf [email protected]) (11.10.2014)
Dr. PC - (C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Pro files\9zessehq.default\Extensions\[email protected]) (13.10.2014)
ClickMovie1-Downloaderv10 - (C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Pro files\9zessehq.default\Extensions\LPESNIOB27154074 @RO39491085.com) (13.10.2014)
SuperMegaBest.com - (C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Pro files\9zessehq.default\Extensions\[email protected]) (18.09.2014)
Dolphin Deals - (C:\Users\Home\AppData\Local\Google\Chrome\User Data\Default\Extensions\hnfbhjkchkfjiamkkecaheoodf jbndpb) (13.10.2014)

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

Код:

KillAll::

File::
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\bd64_x64.dll
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\drivers\bd0001_1.sys
c:\windows\system32\DRIVERS\BDMWrench_x64.sys

Driver::
BDMWrench_x64
bd0004
BDMWrench
BDArKit
BDSGRTP

Folder::
c:\programdata\Baidu
c:\users\Home\AppData\Local\19597
c:\program files (x86)\Common Files\Baidu
c:\users\Home\AppData\Roaming\Browsers


Registry::

FileLook::

DirLook::
C:\Support

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Maks Crimea]

Всё, сделал

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

Код:

KillAll::

File::
c:\windows\system32\drivers\BDSafeBrowser.sys

Driver::
BDSafeBrowser

Folder::
c:\program files (x86)\Common Files\Baidu
C:\Support

Registry::

Firefox::
FF - prefs.js: browser.startup.homepage - hxxp://1kanal.org/?src=hp1

FileLook::

DirLook::

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Maks Crimea]

Сделал! что дальше?

[mike 1]

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"



Скачайте OTCleanIt, запустите, нажмите Clean up

• Подготовьте лог OTL by OldTimer, как описано на этой странице.
• Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.

[Maks Crimea]

Mike 1, логи готовы!

[mike 1]

• Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.
  
  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  
• В окно Custom Scans/Fixes скопируйте следующую информацию:
  
  
  Код:

  :Commands
  [CREATERESTOREPOINT]
  
  :processes
  
  :OTL
  FF - prefs.js..browser.startup.homepage: "http://1kanal.org/?src=hp1"
  FF - user.js - File not found
  [2014.10.13 22:53:32 | 000,000,000 | ---D | M] ("HD-V2.2V11.10") -- C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\[email protected]
  [2014.10.13 21:48:10 | 000,000,000 | ---D | M] ("Dr. PC") -- C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\[email protected]
  [2014.10.13 22:53:31 | 000,000,000 | ---D | M] ("ClickMovie1-Downloaderv10") -- C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\[email protected]
  [2014.10.13 22:53:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\[email protected]\extensionData
  [2014.10.13 22:53:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\[email protected]\extensionData\plugins
  [2014.10.13 22:53:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\[email protected]\extensionData
  [2014.10.13 22:53:31 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\[email protected]\extensionData\userCode
  [2014.10.13 22:53:31 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\[email protected]\extensionData
  [2014.10.13 22:53:31 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\[email protected]\extensionData\plugins
  [2014.09.19 16:32:11 | 000,002,829 | ---- | M] () -- C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\searchplugins\inet123.xml
  O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
  O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
  MsConfig:64bit - StartUpReg: baidu - hkey= - key= - Reg Error: Value error. File not found
  [2014.10.07 20:28:50 | 000,000,001 | ---- | M] () -- C:\Users\Home\AppData\Roaming\smw_inst
  [2014.09.01 12:18:44 | 000,002,086 | ---- | C] () -- C:\Users\Home\AppData\Roaming\VSI
  [2014.09.01 12:18:44 | 000,002,086 | ---- | C] () -- C:\Users\Home\AppData\Roaming\NRANG
  [2014.09.01 12:18:44 | 000,002,086 | ---- | C] () -- C:\Users\Home\AppData\Roaming\NC
  [2014.09.01 12:18:44 | 000,002,086 | ---- | C] () -- C:\Users\Home\AppData\Roaming\MRWK
  [2014.09.01 12:18:44 | 000,001,248 | ---- | C] () -- C:\Users\Home\AppData\Roaming\PXOTICO
  [2014.09.01 12:18:44 | 000,001,248 | ---- | C] () -- C:\Users\Home\AppData\Roaming\MFNMWD
  [2014.09.01 12:18:44 | 000,001,248 | ---- | C] () -- C:\Users\Home\AppData\Roaming\BCFEIW
  [2014.09.01 12:18:44 | 000,001,248 | ---- | C] () -- C:\Users\Home\AppData\Roaming\AIAQ
  
  :Services
  
  :Files
  
  :Reg
  
  :Commands
  [purity]
  [Reboot]

• Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
• Компьютер перезагрузится.
• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и прикрепите его в следующее сообщение.

[Maks Crimea]

Есть!

[mike 1]

Пробуйте оставшиеся файлы расшифровать этим http://support.kaspersky.ru/viruses/disinfection/10556

[Maks Crimea]

Слава Богу! Спасибо Mike1, все файлы расшифрованы

- - - - -Добавлено - - - - -

Правильно понял, больше вирусов у меня нет?

[mike 1]

Правильно понял, больше вирусов у меня нет?

Да, зачистили остаток.

1. Скачайте DelFix и сохраните утилиту на Рабочем столе
2. Запустите DelFix
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
4. Нажмите на кнопку Run
5. После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt
6. Прикрепите этот отчет в вашей теме.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Советы и рекомендации после лечения компьютера

[Maks Crimea]

Благодарю за помощь Mike 1!!!

- - - - -Добавлено - - - - -

Благодарю за помощь Mike 1!!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\home\appdata\roaming\mail.ru newgamest\api.dll - Trojan-Ransom.MSIL.Lortok.p ( BitDefender: Trojan.Generic.11932863, AVAST4: Win32:Malware-gen )