Словил вирус шифровальщик ISHTAR

[Spasatel]

Добрый день, вчера словил данную гадость которая парализовала всю мою работу, очень прошу помочь избавиться от него, а так же узнать есть возможность восстановить зашифрованные файлы

Сразу высылаю архив с отчетами программы Farbar Recovery Scan Tool

CollectionLog-2017.03.14-10.42.zip

frsn.rar

[Sandor]

Здравствуйте!

 

1. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\admin\AppData\Roaming\BdkqG0V.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\BdkqG0V.tmp', '');
 DeleteFile('C:\Users\admin\AppData\Roaming\BdkqG0V.exe', '32');
 DeleteFile('C:\Users\admin\AppData\Roaming\BdkqG0V.tmp', '32');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

2. Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

3. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
2017-03-14 09:50 - 2017-03-14 09:50 - 00003225 _____ C:\Users\admin\Desktop\ISHTAR.DATA
2017-03-14 09:50 - 2017-03-13 13:44 - 00001824 _____ C:\Users\admin\Desktop\README-ISHTAR.txt
2017-03-14 09:40 - 2017-03-14 09:50 - 00003225 _____ C:\ISHTAR.DATA
2017-03-13 13:44 - 2017-03-14 09:50 - 00003225 _____ C:\Users\admin\AppData\Roaming\ISHTAR.DATA
2017-03-13 13:44 - 2017-03-13 13:44 - 00001824 _____ C:\Users\admin\AppData\Roaming\README-ISHTAR.txt
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

+

Ответьте, пожалуйста, во время сбора логов автологером ошибки не появлялись?

Изменено 14 марта, 2017 пользователем Sandor

[Spasatel]

Ответ от Касперского

В следующих файлах обнаружен вредоносный код:
BdkqG0V.exe - HEUR:Trojan.Script.Generic

Вот еще

ClearLNK-14.03.2017_11-48.log

Fixlog.txt

[Sandor]

во время сбора логов автологером ошибки не появлялись?

Не ответили.

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Spasatel]

AdwCleaner Выдает ошибку: *sqlite3.dll is corrupted or has been replaced

[Sandor]

Удалите, скачайте заново и пробуйте запустить из другого места, например из корня диска C:

[Spasatel]

Неа, не помогает ,все равно выдает такую ошибку

[Sandor]

Ошибка появляется при запуске программы или при нажатии кнопки Сканировать?

[Spasatel]

При начале сканирования

[Sandor]

Пожалуйста, проделайте следущее:

• Запустите повторно AdwCleaner
• Выберите в меню Инструменты - Настройки
• В разделе Режим отметьте Отладка
• Нажмите ОК
• Повторите сканирование.

Подождите, пока произойдет сбой.

Отчет отладки (C:\AdwCleaner\AdwCleaner_Debug.log) прикрепите к следующему сообщению.

[Spasatel]

Пожалуйста

AdwCleaner_Debug.log

[Sandor]

Зайдите еще раз в Настройки, Режим оставьте Обычный, а База данных отметьте Локально и нажмите Ок. Попробуйте произвести сканирование.

[Spasatel]

Нет не помогает, я посмотрел на диске С есть папка AdwCleaner, она не может чего нибудь блокировать?

[Sandor]

Сделайте так:

Запустите adwcleaner.exe

В меню File (Файл) - выберите Uninstall (Деинсталлировать).

Подтвердите удаление, нажав кнопку: Да.

 

Еще раз скачайте и пробуйте сканировать.

[Spasatel]

Отчет

AdwCleanerS0.txt