ishtar вирус

11 ноября, 2016

Добрый день!

Вирус ishtar попал в рабочий ноутбук через электронное письмо со счетом на оплату от поставщика, с которым ранее сотрудничали. В результате, закодированы все файлы, фотографии наших работ, не открывается программа для построения металлоизделий A-Technology Win Draw. После сканирования обнаружено два Trojan-Ransom.Win32.Cry.File.yug.

Помогите восстановить файлы. Спасибо.

CollectionLog-2016.11.11-18.48.zip

11 ноября, 2016

Вот как выглядит электронное письмо с вредоносной программой, переход по ссылке в письме чреват очень неприятными последствиями. Не открывайте подобных писем!:

от: nikolay.portovin@realweb.me[/size]

Наш дорогой клиент!
По техническим причинам Ваша оплата Заказа в Интернет-магазине "ART-VISAGE" не была проведена корректно и транзакция была отозвана банковским учреждением. Команда ART-VISAGE просит Вас провести транзакцию повторно, поскольку заказ был Вам уже доставлен, и магазин несет убытки.
Платежное поручение и детали заказа по ссылке
Заранее Благодарны Вам за отзывчивость и честность.|Команда Студии-лаборатории "ART-VISAGE" признательна Вам заранее.|Благодарим за понимание.|Приносим извинения за доставленные неудобства.|Команда Студии-лаборатории "ART-VISAGE" приносит извинения за причиненные неудобства.}

Всегда Ваши,
Студия-лаборатория "ART-VISAGE"

Строгое предупреждение от модератора "Mark D. Pearlstone"

Не прикрепляйте вредоносные и потенциально вредоносные файлы к форуму, а также не пишите ссылки на них.

Сообщение от модератора Mark D. Pearlstone

Темы объединены

11 ноября, 2016

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):



 begin

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);

 QuarantineFile('C:\Users\8\AppData\Roaming\l69Z9th8.exe','');

 DeleteFile('C:\Users\8\AppData\Roaming\l69Z9th8.exe','32');

 DeleteFile('C:\Windows\Tasks\Update Service for advPlugin.job','32');

 DeleteFile('C:\Windows\Tasks\Update Service for advPlugin2.job','32');

 DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader.job','32');

 DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader2.job','32');

 DeleteFile('C:\Windows\system32\Tasks\RocketTab','64');

 DeleteFile('C:\Windows\system32\Tasks\RocketTab Update Task','64');

 DeleteFile('C:\Windows\system32\Tasks\Update Service for advPlugin','64');

 DeleteFile('C:\Windows\system32\Tasks\Update Service for advPlugin2','64');

 DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader','64');

 DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader2','64');

 DeleteFile('C:\Users\8\appdata\roaming\aspackage\assrv.exe','32');

ExecuteSysClean;

RebootWindows(true);

end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:



begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

Сделайте новые логи Автологгером.

11 ноября, 2016

Новые логи:

CollectionLog-2016.11.12-00.40.zip

11 ноября, 2016

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

12 ноября, 2016

Добрый день!

Отчет:

AdwCleanerS0.txt

13 ноября, 2016

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

14 ноября, 2016

Добрый день! На форуме прочитала, что расшифровка файлов - процесс долгий и, вероятно, невозможный. Поэтому систему переустановили...вируса больше нет и всей информации тоже... Спасибо большое за помощь! Воспользуюсь рекомендациями по защите пк от шифровальщиков в дальнейшем.

ishtar вирус

Рекомендуемые сообщения

Amanda

Ссылка на комментарий

Поделиться на другие сайты

Amanda

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Amanda

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Amanda

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Amanda

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum