Показано с 1 по 8 из 8.

Файлы зашифрованы. Расширение AES256. Что делать? [Trojan-Ransom.MSIL.Lortok.o ] (заявка № 168384)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    11.10.2014
    Сообщений
    4
    Вес репутации
    35

    Файлы зашифрованы. Расширение AES256. Что делать? [Trojan-Ransom.MSIL.Lortok.o ]

    прошу помочь. сталкиваюсь впервые.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Даниил Абалаков, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    11.10.2014
    Сообщений
    4
    Вес репутации
    35
    Файлы прикрепил как логи так и зараженный
    Вложения Вложения

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     QuarantineFile('C:\Users\HARDWORKER\appdata\roaming\mail.ru newgamest\api.dll','');
     QuarantineFile('C:\Users\HARDWORKER\AppData\Local\Microsoft\Windows\system.vbs','');
     QuarantineFile('C:\Users\HARDWORKER\AppData\Roaming\runWIN\update.exe','');
     QuarantineFile('C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
     QuarantineFile('C:\Users\HARDWORKER\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
     QuarantineFile('C:\Program Files\Sonata\bin\updater.exe','');
     DeleteFile('C:\Program Files\Google\Chrome\Application\chrome.exe.bat','32');
     DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Yahoo! Search');
     DeleteFile('C:\Users\HARDWORKER\AppData\Local\Yandex\YandexBrowser\Application\browser.exe.bat','32');
     DeleteFile('C:\Users\HARDWORKER\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
     DeleteFile('C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
     DeleteFile('C:\Users\HARDWORKER\AppData\Roaming\runWIN\update.exe','32');
     DeleteFile('C:\Users\HARDWORKER\AppData\Local\Microsoft\Windows\system.vbs','32');
     DeleteFile('C:\Windows\system32\Tasks\Yahoo! Search Udpater','32');
     DeleteFile('C:\Users\HARDWORKER\appdata\roaming\mail.ru newgamest\api.dll','32');
    DeleteFileMask('C:\Users\HARDWORKER\AppData\Roaming\runWIN', '*', true);
    DeleteDirectory('C:\Users\HARDWORKER\AppData\Roaming\runWIN');
    DeleteFileMask('C:\Users\HARDWORKER\AppData\Roaming\Mail.RU NewGamesT', '*', true);
    DeleteDirectory('C:\Users\HARDWORKER\AppData\Roaming\Mail.RU NewGamesT');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Сделайте логи RSIT
    Сделайте такой лог
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. Это понравилось:


  8. #6
    Junior Member (OID) Репутация
    Регистрация
    11.10.2014
    Сообщений
    4
    Вес репутации
    35
    Сделано
    Вложения Вложения

  9. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Поместите в карантин МВАМ всё, кроме
    Код:
    PUP.Optional.LoadMoney, C:\Users\HARDWORKER\Downloads\balck and white zones (1).exe, , [502631e2cbb13bfb4c013a1d2ed2a858], 
    PUP.Optional.LoadMoney, C:\Users\HARDWORKER\Downloads\pritsel-ot-jove-papki-dzhova-dlya-world-of-tanks.exe, , [52246ea5cab2cf67c18c2a2d68987b85], 
    PUP.Optional.LoadMoney, C:\Users\HARDWORKER\Downloads\balck and white zones.exe, , [c6b021f2d2aaa88e66e75304dc241fe1], 
    PUP.Optional.Opencandy, C:\Users\user\AppData\Roaming\rmi\offer_downloader.exe, , [da9c58bb7efe6fc7becea9e7bf43ff01], 
    PUP.Optional.LoadMoney, C:\Users\user\Desktop\???????°N? ???°?????°\??????N????µ??N?N? ???»?µ???µN? ???µ????\music\bruno_mars_-_it_will_rain_zaycev_net.exe, , [adc99b785f1df2448f74bd9a3bc61ce4], 
    PUP.Optional.LoadMoney, C:\Users\user\Desktop\???????°N? ???°?????°\??????N????µ??N?N? ???»?µ???µN? ???µ????\music\???????°N? ???°?????°\-01bruno_mars_-_it_will_rain_zaycev_net.exe, , [6c0a73a05e1e8aac23e0a1b655ac7a86], 
    Riskware.Crk, C:\Users\user\Desktop\?§?µN????°N? N??»?µN????°\MicrosoftOffice 2010\mini_KMS_Activator_v1.2_Office2010_VL_RUS.exe, , [f77fa76c7507092d14645a93c040c23e], 
    Malware.Packer, C:\Users\user\Downloads\dohodny_tennis_livescore+.exe, , [6f07a76ca8d46acc839d6e800cf89d63], 
    PUP.Optional.OutBrowse, C:\Users\user\Downloads\Instagram Bot - Instastar v 5.23.exe, , [c0b667ac8fedb185af81b6680000c040], 
    PUP.Optional.InstallMonstr, C:\Users\user\Downloads\install_flashplayer11x32_mssa_aaa_aih.exe, , [df97fc17e795db5bb330d6a538c9e31d], 
    PUP.Optional.iDatix, C:\Users\user\Downloads\retro-minimal-party-flyer.zip.exe, , [4135858e88f4b482ee5b69f8c73ae31d], 
    PUP.Optional.NextLive.A, C:\Users\user\Downloads\Mobogenie_Setup_2.2.1_73.exe, , [78fea271a3d9181e2d85670170917888], 
    PUP.Optional.4Shared, C:\Users\user\Downloads\Eat+Pray+Love+2010+BRRip...p+x264+DXVA+AAC-MXMG.exe, , [6214a1727507a88e3367713fff02926e], 
    PUP.Optional.LoadMoney.A, C:\Users\user\Downloads\???????«????\xbox360 fifa 14 pal russound xgd3 lt 3 0 consol-games net skachat igry na psp cherez torrent.exe, , [94e24dc63e3ea4922e84166e956ca25e], 
    PUP.Optional.MediaMagnet.A, C:\Users\user\Downloads\???????«????\Vse_i_srazu.6c2f5 (1).exe, , [b6c07a99fd7f71c5456e384c847de719], 
    PUP.Optional.MediaMagnet.A, C:\Users\user\Downloads\???????«????\Vse_i_srazu.6c2f5.exe, , [dd99040f35471f17af04ccb8ff02f30d], 
    PUP.Optional.LoadMoney.gen, C:\Users\user\Downloads\???????«????\wysiwyg web b 9 4 4 crk.exe, , [0b6b57bcbcc0cf67fa76d2ebd62b6997], 
    PUP.Optional.OpenCandy, C:\Users\user\Downloads\???????«????\flashplayer14_install_win_pi (1).exe, , [7ff7b95a74088bab8265c08405003cc4], 
    PUP.Optional.OpenCandy, C:\Users\user\Downloads\???????«????\flashplayer14_install_win_pi.exe, , [52248c874b3149edad3a87bdca3b28d8], 
    PUP.Optional.InstallCore, C:\Users\user\Downloads\???????«????\HPUSBDisk_inst2.exe, , [6313d53e0478c076f90706b0ae537c84], 
    PUP.Riskware.Patcher, C:\Program Files\WYSIWYG Web Builder 9\patch.exe, , [7402d53e91ebb185a3bc5fc18d74d030], 
    PUP.GameTool, C:\Program Files\ICCup\Launcher\iccwc3.icc, , [c4b249ca3745d75fe3a5f096738d58a8], 
    Malware.Packer, D:\1\???µ??N????? ?? ??????????\dohodny_tennis_livescore+.exe, , [185ede351b613600a57bd01e6e96629e], 
    PUP.RiskwareTool.CK, D:\Downloads\Adobe After Effects CS4 (32 Bit)\Crack\32-bit\amtlib.dll, , [a8ce9e753a42c47276ede1642ed4f10f], 
    PUP.RiskwareTool.CK, D:\Downloads\Adobe After Effects CS4 (32 Bit)\Crack\64-bit\amtlib.dll, , [4e28ff14304ce84e560e4005e71be41c], 
    Trojan.Agent.CK, D:\Downloads\Adobe CS5.1 [2011]\Crack\Keygen.exe, , [43339f744933a88ef0650d7f6d939e62], 
    Malware.Gen, D:\MAKET CleverLand\Photoshop.Extended.CS5.RU\adobe_PS_CS5_keygen\adobe_PS_CS5_keygen.exe, , [492d15feeb91290d9804fc6d8b75cf31],
    Пофиксите в HiJack
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://1kanal.org/?src=hp1
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
    O4 - HKCU\..\Run: [Encrypt] C:\Users\HARDWORKER\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe
    Удалите папки
    Код:
    C:\Users\HARDWORKER\AppData\Roaming\Microsoft DB
    C:\Users\HARDWORKER\AppData\Roaming\GemWare
    C:\Users\HARDWORKER\AppData\Roaming\ICL
    C:\Program Files\Аудио и видео скачивание
    Удалите
    C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Амиго.lnk
    C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk
    C:\Users\user\AppData\Roaming\Microsoft\Windows\St art Menu\Programs\Амиго.lnk
    Пересоздайте ярлыки
    C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Opera.lnk
    C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Proxy Switcher Standard\Setting Up Mozilla FireFox Tutorial.lnk
    C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Inte rnet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk
    C:\Users\Public\Desktop\Opera.lnk
    C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Opera.lnk
    C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Proxy Switcher Standard\Setting Up Mozilla FireFox Tutorial.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Proxy Switcher Standard\Setting Up Mozilla FireFox Tutorial.lnk
    C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
    C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Inte rnet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
    C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Inte rnet Explorer\Quick Launch\User Pinned\TaskBar\Панель запуска приложений Chrome.lnk
    C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Wind ows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
    C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Wind ows\Start Menu\Programs\Google Chrome\Панель запуска приложений Chrome.lnk
    C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Wind ows\Start Menu\Programs\Internet Explorer.lnk
    C:\Users\HARDWORKER\AppData\Roaming\Microsoft\Wind ows\Start Menu\Programs\Yandex\Yandex.lnk
    C:\Users\HARDWORKER\Desktop\Yandex.lnk
    C:\Users\HARDWORKER\Desktop\Панель запуска приложений Chrome.lnk
    C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
    Напишите ID и Hash, оставленные Вам шифровальщиком
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #8
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 14
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\hardworker\appdata\roaming\mail.ru newgamest\api.dll - Trojan-Ransom.MSIL.Lortok.o ( BitDefender: Trojan.Generic.11947774 )


  • Уважаемый(ая) Даниил Абалаков, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 10
      Последнее сообщение: 17.10.2014, 20:30
    2. Ответов: 13
      Последнее сообщение: 17.10.2014, 20:15
    3. Ответов: 11
      Последнее сообщение: 16.10.2014, 22:59
    4. Ответов: 11
      Последнее сообщение: 09.10.2014, 15:26
    5. Файлы зашифрованы. Расширение AES256.
      От sergo74 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 08.10.2014, 00:21

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00404 seconds with 18 queries