Словил ishtar,все файлы рухнули

[Oshin]

Здравствуйте.Постигла и меня беда,открыл письмо с вирусом ishtar.

По вашим рекомендациям установил AVZ и создал архив с логом.

Файл прилагаю.Возмож но ли что то сделать?

CollectionLog-2016.12.06-21.58.zip

FRST.txt

Addition.txt

Изменено 6 декабря, 2016 пользователем Oshin

[Sandor]

Здравствуйте!

 

Будет только очистка следов вымогателя и адвари.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

cloudfront - Uninstall

Driver Booster 2.2

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\oshin.oshin-tosh\appdata\roaming\4081626e-1429305038-df11-9287-00266c75610b\nsh25d4.tmpfs');
 StopService('moguzyvy');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\plugins\FileSmash\QMSoftExt.dll','');
 QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','');
 QuarantineFile('D:\IQIYI Video\LStyle\winio.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TS888x64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMUdisk64.sys','');
 QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe','');
 QuarantineFile('c:\users\oshin.oshin-tosh\appdata\roaming\4081626e-1429305038-df11-9287-00266c75610b\nsh25d4.tmpfs', '');
 QuarantineFile('C:\Users\Oshin.Oshin-TOSH\AppData\Roaming\4081626E-1429346626-DF11-9287-00266C75610B\jnsrB460.tmp', '');
 QuarantineFile('C:\Users\Oshin\AppData\Local\Temp\System\audiodgi.exe', '');
 QuarantineFile('C:\Users\Oshin.Oshin-TOSH\AppData\Roaming\BYAIAMUF.exe', '');
 QuarantineFile('C:\Users\Oshin.Oshin-TOSH\AppData\Roaming\DQIQVSVP.exe', '');
 QuarantineFile('C:\Users\Oshin.Oshin-TOSH\AppData\Roaming\RBQGK.exe', '');
 QuarantineFile('C:\Users\Oshin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SQUKBFI4\DLOADX_1.09.000_pl[1].exe', '');
 QuarantineFile('C:\Users\Oshin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\5EB7848C\mp800win111e9[1].exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "BYAIAMUF" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "DQIQVSVP" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "RBQGK" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{8DEC0039-7844-45F2-9D03-7F3EE2260618}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{B9472D8F-DB26-44DE-A004-7CAF11F977E3}" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\QMUdisk64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\TS888x64.sys','32');
 DeleteFile('D:\IQIYI Video\LStyle\winio.sys','32');
 DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.6.15950.224\plugins\FileSmash\QMSoftExt.dll','32');
 DeleteFile('C:\Windows\Tasks\BYAIAMUF.job', '64');
 DeleteFile('C:\Windows\Tasks\DQIQVSVP.job', '64');
 DeleteFile('C:\Windows\Tasks\RBQGK.job', '64');
 DeleteFile('c:\users\oshin.oshin-tosh\appdata\roaming\4081626e-1429305038-df11-9287-00266c75610b\nsh25d4.tmpfs', '32');
 DeleteFile('C:\Users\Oshin.Oshin-TOSH\AppData\Roaming\4081626E-1429346626-DF11-9287-00266C75610B\jnsrB460.tmp', '32');
 DeleteFile('C:\Users\Oshin\AppData\Local\Temp\System\audiodgi.exe', '32');
 DeleteFile('C:\Users\Oshin.Oshin-TOSH\AppData\Roaming\BYAIAMUF.exe', '32');
 DeleteFile('C:\Users\Oshin.Oshin-TOSH\AppData\Roaming\DQIQVSVP.exe', '32');
 DeleteFile('C:\Users\Oshin.Oshin-TOSH\AppData\Roaming\RBQGK.exe', '32');
 DeleteFile('C:\Users\Oshin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SQUKBFI4\DLOADX_1.09.000_pl[1].exe', '32');
 DeleteFile('C:\Users\Oshin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\5EB7848C\mp800win111e9[1].exe', '32');
 DeleteService('WINIO');
 DeleteService('TS888x64');
 DeleteService('QMUdisk');
 DeleteService('globalUpdatem');
 DeleteService('globalUpdate');
 DeleteService('moguzyvy');
 DeleteService('zorevige');
 DelCLSID('{754DF2CE-51E8-4895-B53C-6381418B84AE}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_168F79440EC8AE06EF9AD100621ACC64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','klsrnsdoib');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft® Windows® Operating System','command');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.