Вирус зашифровал файлы AES256 [Trojan-Ransom.MSIL.Lortok.p ]

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=SITLog]SITLog[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]sitlog.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]В главном окне программы выберите проверку за последние три месяца и нажмите [B]"Старт"[/B][*]По окончанию работы программы в папке [b]LOG[/b] должны появиться два отчета [B]SITLog.txt[/B] и [B]SITLog_Info.txt[/B][*]Прикрепите эти отчеты в вашей теме.[/LIST]

Сделал

[LIST=1][*]Скачайте [b][url=http://virusinfo.info/soft/tool.php?tool=FixerBro]FixerBro by glax 24[/url][/b] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]FixerBro[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]В главном окне программы нажмите на кнопку [B]"Проверить"[/B][*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\FixerBro[/COLOR][/B] (лог в формате [b]FixerBro_yyyymmdd.txt[/b])[*]По окончанию сканирования нажмите на кнопку "[b]Отчет[/b]".[*]Сохраните лог утилиты[*]Прикрепите сохраненный отчет в вашей теме.[/LIST]

Скачайте ComboFix [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]здесь[/url] и сохраните в корень диска С.

1. [color=red]Внимание![/color] Обязательно закройте все браузеры, [URL="http://virusinfo.info/showthread.php?t=130828"]временно выключите антивирус, firewall и другое защитное программное обеспечение[/URL]. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите [b]combofix.exe[/b], когда процесс завершится, скопируйте текст из [b]C:\ComboFix.txt[/b] и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Mike 1, благодарю за Вашу помощь! Отправляю логи

[LIST=1][*]Запустите повторно [b][color="Blue"]FixerBro by glax24[/b][/color]. [INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать через правую кн. мыши [b]от имени администратора[/b], на [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]Нажмите на кнопку [b]"Проверить"[/b], а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку [b]Исправить[/b]. Дождитесь окончания удаления.

[code]
C:\Users\Home\Desktop\Utility\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat "http://1kanal.org/?src=hp1"]
C:\Users\Home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk [C:\Program Files\Internet Explorer\iexplore.exe.bat "http://1kanal.org/?src=hp1"]
C:\Users\Home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://1kanal.org/?src=hp1"]
C:\Users\Home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://1kanal.org/?src=hp1"]
C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat "http://1kanal.org/?src=hp1"]
C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://1kanal.org/?src=hp1"]
C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat "http://1kanal.org/?src=hp1"]
C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk [C:\Users\Home\AppData\Roaming\Browsers\iexplore.exe.bat "http://1kanal.org/?src=hp1"]
C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (3).lnk [C:\Users\Home\AppData\Roaming\Browsers\iexplore.exe.bat "http://1kanal.org/?src=hp1"]
C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk [C:\Users\Home\AppData\Roaming\Browsers\iexplore.exe.bat "http://1kanal.org/?src=hp1"]
C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk [C:\Program Files (x86)\Mozilla Firefox\firefox.exe.bat "http://1kanal.org/?src=hp1"]
C:\Users\Home\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.15 1748.lnk [C:\Program Files (x86)\Opera\opera.exe.bat "http://1kanal.org/?src=hp1"]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk [C:\Program Files (x86)\Mozilla Firefox\firefox.exe.bat "http://1kanal.org/?src=hp1"]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk [C:\Program Files (x86)\Opera\opera.exe.bat "http://1kanal.org/?src=hp1"]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat "http://1kanal.org/?src=hp1"]
[/code]
[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [b][color="Blue"]C:\FixerBro[/b][/color]. (Лог в формате [b]FixerBro_yyyymmdd.txt[/b]).[*]По окончанию удаления нажмите на кнопку "[b]Отчет[/b]"[*]Сохраните лог утилиты[*]Прикрепите сохраненный отчет в вашей теме.[/LIST]

В браузере удалите эти расширения:

[QUOTE]
HD-V2.2V11.10 - (C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\Extensions\[email protected]) (11.10.2014)
Dr. PC - (C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\Extensions\[email protected]) (13.10.2014)
ClickMovie1-Downloaderv10 - (C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\Extensions\[email protected]) (13.10.2014)
SuperMegaBest.com - (C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\Extensions\[email protected]) (18.09.2014)
Dolphin Deals - (C:\Users\Home\AppData\Local\Google\Chrome\User Data\Default\Extensions\hnfbhjkchkfjiamkkecaheoodfjbndpb) (13.10.2014)
[/QUOTE]

Скопируйте текст ниже в Блокнот и [COLOR="#0000CD"]сохраните[/COLOR] как файл с названием [B]CFScript.txt[/B] [COLOR="#0000CD"][B]в корень диска С.[/B][/COLOR]
[code]
KillAll::

File::
c:\windows\system32\drivers\BDMWrench.sys
c:\windows\system32\bd64_x64.dll
c:\windows\system32\bd64_x86.dll
c:\windows\system32\drivers\BDArKit.sys
c:\windows\system32\drivers\bd0001.sys
c:\windows\system32\drivers\BDSafeBrowser.sys
c:\windows\system32\drivers\bd0004.sys
c:\windows\system32\drivers\bd0001_1.sys
c:\windows\system32\DRIVERS\BDMWrench_x64.sys

Driver::
BDMWrench_x64
bd0004
BDMWrench
BDArKit
BDSGRTP

Folder::
c:\programdata\Baidu
c:\users\Home\AppData\Local\19597
c:\program files (x86)\Common Files\Baidu
c:\users\Home\AppData\Roaming\Browsers


Registry::

FileLook::

DirLook::
C:\Support

Reboot::
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[IMG]http://savepic.org/5315621m.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

Всё, сделал

Скопируйте текст ниже в Блокнот и [COLOR="#0000CD"]сохраните[/COLOR] как файл с названием [B]CFScript.txt[/B] [COLOR="#0000CD"][B]в корень диска С.[/B][/COLOR]
[code]
KillAll::

File::
c:\windows\system32\drivers\BDSafeBrowser.sys

Driver::
BDSafeBrowser

Folder::
c:\program files (x86)\Common Files\Baidu
C:\Support

Registry::

Firefox::
FF - prefs.js: browser.startup.homepage - hxxp://1kanal.org/?src=hp1

FileLook::

DirLook::

Reboot::
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[IMG]http://savepic.org/5315621m.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

Сделал! что дальше?:)

Деинсталлируйте ComboFix: нажмите [b]Пуск[/b] => [b]Выполнить[/b] в окне наберите команду [b]Combofix /Uninstall[/b], нажмите кнопку "[b]ОК[/b]"

[IMG]http://s16.radikal.ru/i191/1003/6c/671e520b7c2d.jpg[/IMG]

Скачайте [url="http://oldtimer.geekstogo.com/OTC.exe"]OTCleanIt[/url], запустите, нажмите [B]Clean up[/B]

[LIST][*]Подготовьте лог [B]OTL by OldTimer[/B], как описано на [URL="http://www.cyberforum.ru/viruses-faq/thread230018.html"]этой странице[/URL].[*]Прикрепите полученные логи [B]OTL.txt[/B] и [B]Extra.txt[/B] к своему следующему сообщению.[*][/LIST]

Mike 1, логи готовы!

[LIST][*]Запустите повторно [URL="http://oldtimer.geekstogo.com/OTL.exe"]OTL by OldTimer[/URL] или [URL="http://oldtimer.geekstogo.com/OTL.com"]OTL.com[/URL] или [URL="http://oldtimer.geekstogo.com/OTL.scr"]OTL.scr[/URL].

[SIZE="1"]Обратите внимание, что утилиты необходимо запускать от имени [B]Администратора[/B]. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите "[B]Да[/B]".[/SIZE]
[*]В окно [B]Custom Scans/Fixes[/B] скопируйте следующую информацию:

[CODE]
:Commands
[CREATERESTOREPOINT]

:processes

:OTL
FF - prefs.js..browser.startup.homepage: "http://1kanal.org/?src=hp1"
FF - user.js - File not found
[2014.10.13 22:53:32 | 000,000,000 | ---D | M] ("HD-V2.2V11.10") -- C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\[email protected]
[2014.10.13 21:48:10 | 000,000,000 | ---D | M] ("Dr. PC") -- C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\[email protected]
[2014.10.13 22:53:31 | 000,000,000 | ---D | M] ("ClickMovie1-Downloaderv10") -- C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\[email protected]
[2014.10.13 22:53:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\[email protected]\extensionData
[2014.10.13 22:53:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\[email protected]\extensionData\plugins
[2014.10.13 22:53:32 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\[email protected]\extensionData
[2014.10.13 22:53:31 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\[email protected]\extensionData\userCode
[2014.10.13 22:53:31 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\[email protected]\extensionData
[2014.10.13 22:53:31 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\extensions\[email protected]\extensionData\plugins
[2014.09.19 16:32:11 | 000,002,829 | ---- | M] () -- C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\searchplugins\inet123.xml
O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
MsConfig:64bit - StartUpReg: [b]baidu[/b] - hkey= - key= - Reg Error: Value error. File not found
[2014.10.07 20:28:50 | 000,000,001 | ---- | M] () -- C:\Users\Home\AppData\Roaming\smw_inst
[2014.09.01 12:18:44 | 000,002,086 | ---- | C] () -- C:\Users\Home\AppData\Roaming\VSI
[2014.09.01 12:18:44 | 000,002,086 | ---- | C] () -- C:\Users\Home\AppData\Roaming\NRANG
[2014.09.01 12:18:44 | 000,002,086 | ---- | C] () -- C:\Users\Home\AppData\Roaming\NC
[2014.09.01 12:18:44 | 000,002,086 | ---- | C] () -- C:\Users\Home\AppData\Roaming\MRWK
[2014.09.01 12:18:44 | 000,001,248 | ---- | C] () -- C:\Users\Home\AppData\Roaming\PXOTICO
[2014.09.01 12:18:44 | 000,001,248 | ---- | C] () -- C:\Users\Home\AppData\Roaming\MFNMWD
[2014.09.01 12:18:44 | 000,001,248 | ---- | C] () -- C:\Users\Home\AppData\Roaming\BCFEIW
[2014.09.01 12:18:44 | 000,001,248 | ---- | C] () -- C:\Users\Home\AppData\Roaming\AIAQ

:Services

:Files

:Reg

:Commands
[purity]
[Reboot][/CODE][*]Проверьте, что весь текст скрипта был скопирован / вставлен [U]верно[/U] и нажмите кнопку "[B]Run Fix[/B]"[*][B][I]Компьютер перезагрузится.[/I][/B][*]После перезагрузки откройте папку [b]"C:\_OTL\MovedFiles"[/b], найдите последний .log файл (лог в формате [b]mmddyyyy_hhmmss.log[/b]), откройте и прикрепите его в следующее сообщение.[/LIST]

Есть!

Пробуйте оставшиеся файлы расшифровать этим [url]http://support.kaspersky.ru/viruses/disinfection/10556[/url]

Слава Богу! Спасибо Mike1, все файлы расшифрованы :D

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Правильно понял, больше вирусов у меня нет?

[QUOTE]Правильно понял, больше вирусов у меня нет?[/QUOTE]
Да, зачистили остаток.

[LIST=1][*]Скачайте [url=https://toolslib.net/downloads/finish/2/]DelFix[/url] и сохраните утилиту на [b]Рабочем столе[/b][*]Запустите [b]DelFix[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]В открывшемся окне программы поставьте галочки напротив пунктов [B]Remove desinfection tools[/B] и [B]Create registry backup[/B][*]Нажмите на кнопку [B]Run[/B][*]После окончания работы программы автоматически откроется блокнот с отчетом [B]delfix.txt[/B][*]Прикрепите этот отчет в вашей теме.[/LIST]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в AVZ при наличии доступа в интернет:

[CODE]
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]

Благодарю за помощь Mike 1!!!

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Благодарю за помощь Mike 1!!!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\home\appdata\roaming\mail.ru newgamest\api.dll - [B]Trojan-Ransom.MSIL.Lortok.p[/B] ( BitDefender: Trojan.Generic.11932863, AVAST4: Win32:Malware-gen )[/LIST][/LIST]