Файлы зашифрованы. Расширение AES256. Что делать? [Trojan-Ransom.MSIL.Lortok.o ]

прошу помочь. сталкиваюсь впервые.

Уважаемый(ая) [B]Даниил Абалаков[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url]http://virusinfo.info/pravila.html[/url]

Файлы прикрепил как логи так и зараженный

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\HARDWORKER\appdata\roaming\mail.ru newgamest\api.dll','');
QuarantineFile('C:\Users\HARDWORKER\AppData\Local\Microsoft\Windows\system.vbs','');
QuarantineFile('C:\Users\HARDWORKER\AppData\Roaming\runWIN\update.exe','');
QuarantineFile('C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
QuarantineFile('C:\Users\HARDWORKER\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
QuarantineFile('C:\Program Files\Sonata\bin\updater.exe','');
DeleteFile('C:\Program Files\Google\Chrome\Application\chrome.exe.bat','32');
DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Yahoo! Search');
DeleteFile('C:\Users\HARDWORKER\AppData\Local\Yandex\YandexBrowser\Application\browser.exe.bat','32');
DeleteFile('C:\Users\HARDWORKER\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
DeleteFile('C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
DeleteFile('C:\Users\HARDWORKER\AppData\Roaming\runWIN\update.exe','32');
DeleteFile('C:\Users\HARDWORKER\AppData\Local\Microsoft\Windows\system.vbs','32');
DeleteFile('C:\Windows\system32\Tasks\Yahoo! Search Udpater','32');
DeleteFile('C:\Users\HARDWORKER\appdata\roaming\mail.ru newgamest\api.dll','32');
DeleteFileMask('C:\Users\HARDWORKER\AppData\Roaming\runWIN', '*', true);
DeleteDirectory('C:\Users\HARDWORKER\AppData\Roaming\runWIN');
DeleteFileMask('C:\Users\HARDWORKER\AppData\Roaming\Mail.RU NewGamesT', '*', true);
DeleteDirectory('C:\Users\HARDWORKER\AppData\Roaming\Mail.RU NewGamesT');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
Сделайте [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]такой лог[/url]

Сделано

Поместите в карантин МВАМ всё, [B]кроме[/B]
[CODE]PUP.Optional.LoadMoney, C:\Users\HARDWORKER\Downloads\balck and white zones (1).exe, , [502631e2cbb13bfb4c013a1d2ed2a858],
PUP.Optional.LoadMoney, C:\Users\HARDWORKER\Downloads\pritsel-ot-jove-papki-dzhova-dlya-world-of-tanks.exe, , [52246ea5cab2cf67c18c2a2d68987b85],
PUP.Optional.LoadMoney, C:\Users\HARDWORKER\Downloads\balck and white zones.exe, , [c6b021f2d2aaa88e66e75304dc241fe1],
PUP.Optional.Opencandy, C:\Users\user\AppData\Roaming\rmi\offer_downloader.exe, , [da9c58bb7efe6fc7becea9e7bf43ff01],
PUP.Optional.LoadMoney, C:\Users\user\Desktop\???????°N? ???°?????°\??????N????µ??N?N? ???»?µ???µN? ???µ????\music\bruno_mars_-_it_will_rain_zaycev_net.exe, , [adc99b785f1df2448f74bd9a3bc61ce4],
PUP.Optional.LoadMoney, C:\Users\user\Desktop\???????°N? ???°?????°\??????N????µ??N?N? ???»?µ???µN? ???µ????\music\???????°N? ???°?????°\-01bruno_mars_-_it_will_rain_zaycev_net.exe, , [6c0a73a05e1e8aac23e0a1b655ac7a86],
Riskware.Crk, C:\Users\user\Desktop\?§?µN????°N? N??»?µN????°\MicrosoftOffice 2010\mini_KMS_Activator_v1.2_Office2010_VL_RUS.exe, , [f77fa76c7507092d14645a93c040c23e],
Malware.Packer, C:\Users\user\Downloads\dohodny_tennis_livescore+.exe, , [6f07a76ca8d46acc839d6e800cf89d63],
PUP.Optional.OutBrowse, C:\Users\user\Downloads\Instagram Bot - Instastar v 5.23.exe, , [c0b667ac8fedb185af81b6680000c040],
PUP.Optional.InstallMonstr, C:\Users\user\Downloads\install_flashplayer11x32_mssa_aaa_aih.exe, , [df97fc17e795db5bb330d6a538c9e31d],
PUP.Optional.iDatix, C:\Users\user\Downloads\retro-minimal-party-flyer.zip.exe, , [4135858e88f4b482ee5b69f8c73ae31d],
PUP.Optional.NextLive.A, C:\Users\user\Downloads\Mobogenie_Setup_2.2.1_73.exe, , [78fea271a3d9181e2d85670170917888],
PUP.Optional.4Shared, C:\Users\user\Downloads\Eat+Pray+Love+2010+BRRip...p+x264+DXVA+AAC-MXMG.exe, , [6214a1727507a88e3367713fff02926e],
PUP.Optional.LoadMoney.A, C:\Users\user\Downloads\???????«????\xbox360 fifa 14 pal russound xgd3 lt 3 0 consol-games net skachat igry na psp cherez torrent.exe, , [94e24dc63e3ea4922e84166e956ca25e],
PUP.Optional.MediaMagnet.A, C:\Users\user\Downloads\???????«????\Vse_i_srazu.6c2f5 (1).exe, , [b6c07a99fd7f71c5456e384c847de719],
PUP.Optional.MediaMagnet.A, C:\Users\user\Downloads\???????«????\Vse_i_srazu.6c2f5.exe, , [dd99040f35471f17af04ccb8ff02f30d],
PUP.Optional.LoadMoney.gen, C:\Users\user\Downloads\???????«????\wysiwyg web b 9 4 4 crk.exe, , [0b6b57bcbcc0cf67fa76d2ebd62b6997],
PUP.Optional.OpenCandy, C:\Users\user\Downloads\???????«????\flashplayer14_install_win_pi (1).exe, , [7ff7b95a74088bab8265c08405003cc4],
PUP.Optional.OpenCandy, C:\Users\user\Downloads\???????«????\flashplayer14_install_win_pi.exe, , [52248c874b3149edad3a87bdca3b28d8],
PUP.Optional.InstallCore, C:\Users\user\Downloads\???????«????\HPUSBDisk_inst2.exe, , [6313d53e0478c076f90706b0ae537c84],
PUP.Riskware.Patcher, C:\Program Files\WYSIWYG Web Builder 9\patch.exe, , [7402d53e91ebb185a3bc5fc18d74d030],
PUP.GameTool, C:\Program Files\ICCup\Launcher\iccwc3.icc, , [c4b249ca3745d75fe3a5f096738d58a8],
Malware.Packer, D:\1\???µ??N????? ?? ??????????\dohodny_tennis_livescore+.exe, , [185ede351b613600a57bd01e6e96629e],
PUP.RiskwareTool.CK, D:\Downloads\Adobe After Effects CS4 (32 Bit)\Crack\32-bit\amtlib.dll, , [a8ce9e753a42c47276ede1642ed4f10f],
PUP.RiskwareTool.CK, D:\Downloads\Adobe After Effects CS4 (32 Bit)\Crack\64-bit\amtlib.dll, , [4e28ff14304ce84e560e4005e71be41c],
Trojan.Agent.CK, D:\Downloads\Adobe CS5.1 [2011]\Crack\Keygen.exe, , [43339f744933a88ef0650d7f6d939e62],
Malware.Gen, D:\MAKET CleverLand\Photoshop.Extended.CS5.RU\adobe_PS_CS5_keygen\adobe_PS_CS5_keygen.exe, , [492d15feeb91290d9804fc6d8b75cf31],[/CODE]

Пофиксите в HiJack
[CODE]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - HKCU\..\Run: [Encrypt] C:\Users\HARDWORKER\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe[/CODE]

Удалите папки
[CODE]C:\Users\HARDWORKER\AppData\Roaming\Microsoft DB
C:\Users\HARDWORKER\AppData\Roaming\GemWare
C:\Users\HARDWORKER\AppData\Roaming\ICL
C:\Program Files\Аудио и видео скачивание[/CODE]

Удалите
[QUOTE]C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Амиго.lnk
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk [/QUOTE]

Пересоздайте ярлыки
[QUOTE]C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Proxy Switcher Standard\Setting Up Mozilla FireFox Tutorial.lnk
C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk
C:\Users\Public\Desktop\Opera.lnk
C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Proxy Switcher Standard\Setting Up Mozilla FireFox Tutorial.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Proxy Switcher Standard\Setting Up Mozilla FireFox Tutorial.lnk
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Панель запуска приложений Chrome.lnk
C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Панель запуска приложений Chrome.lnk
C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk
C:\Users\HARDWORKER\Desktop\Yandex.lnk
C:\Users\HARDWORKER\Desktop\Панель запуска приложений Chrome.lnk
C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk[/QUOTE]

Напишите ID и Hash, оставленные Вам шифровальщиком

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\hardworker\appdata\roaming\mail.ru newgamest\api.dll - [B]Trojan-Ransom.MSIL.Lortok.o[/B] ( BitDefender: Trojan.Generic.11947774 )[/LIST][/LIST]