Перейти к содержанию

Словил вирус шифровальщик ISHTAR

Spasatel
 Поделиться

Рекомендуемые сообщения

Spasatel

Spasatel

Опубликовано
Опубликовано

Добрый день, вчера словил данную гадость которая парализовала всю мою работу, очень прошу помочь избавиться от него, а так же узнать есть возможность восстановить зашифрованные файлы


Сразу высылаю архив с отчетами программы Farbar Recovery Scan Tool

CollectionLog-2017.03.14-10.42.zip

frsn.rar

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

1. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\admin\AppData\Roaming\BdkqG0V.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\BdkqG0V.tmp', '');
 DeleteFile('C:\Users\admin\AppData\Roaming\BdkqG0V.exe', '32');
 DeleteFile('C:\Users\admin\AppData\Roaming\BdkqG0V.tmp', '32');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

2. Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

3. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
2017-03-14 09:50 - 2017-03-14 09:50 - 00003225 _____ C:\Users\admin\Desktop\ISHTAR.DATA
2017-03-14 09:50 - 2017-03-13 13:44 - 00001824 _____ C:\Users\admin\Desktop\README-ISHTAR.txt
2017-03-14 09:40 - 2017-03-14 09:50 - 00003225 _____ C:\ISHTAR.DATA
2017-03-13 13:44 - 2017-03-14 09:50 - 00003225 _____ C:\Users\admin\AppData\Roaming\ISHTAR.DATA
2017-03-13 13:44 - 2017-03-13 13:44 - 00001824 _____ C:\Users\admin\AppData\Roaming\README-ISHTAR.txt
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

+

Ответьте, пожалуйста, во время сбора логов автологером ошибки не появлялись?

Изменено пользователем Sandor
Sandor

Sandor

Опубликовано
Опубликовано

во время сбора логов автологером ошибки не появлялись?

Не ответили.

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Spasatel

Spasatel

Опубликовано
  • Автор
Опубликовано

AdwCleaner Выдает ошибку: *sqlite3.dll is corrupted or has been replaced

Sandor

Sandor

Опубликовано
Опубликовано

Удалите, скачайте заново и пробуйте запустить из другого места, например из корня диска C:

Spasatel

Spasatel

Опубликовано
  • Автор
Опубликовано

Неа, не помогает ,все равно выдает такую ошибку

Sandor

Sandor

Опубликовано
Опубликовано

Ошибка появляется при запуске программы или при нажатии кнопки Сканировать?

Sandor

Sandor

Опубликовано
Опубликовано

Пожалуйста, проделайте следущее:

  • Запустите повторно AdwCleaner
  • Выберите в меню Инструменты - Настройки
  • В разделе Режим отметьте Отладка
  • Нажмите ОК
  • Повторите сканирование.
Подождите, пока произойдет сбой.

Отчет отладки (C:\AdwCleaner\AdwCleaner_Debug.log) прикрепите к следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано

Зайдите еще раз в Настройки, Режим оставьте Обычный, а База данных отметьте Локально и нажмите Ок. Попробуйте произвести сканирование.

Spasatel

Spasatel

Опубликовано
  • Автор
Опубликовано

Нет не помогает, я посмотрел на диске С есть папка AdwCleaner, она не может чего нибудь блокировать?

Sandor

Sandor

Опубликовано
Опубликовано

Сделайте так:

Запустите adwcleaner.exe

В меню File (Файл) - выберите Uninstall (Деинсталлировать).

Подтвердите удаление, нажав кнопку: Да.

 

Еще раз скачайте и пробуйте сканировать.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Дмитрий9409075
      Помогите с лечением ishtar
      Автор Дмитрий9409075
      Открыл письмо с  файлом ексель, после чего произошло заражение компьютера. Все файлы переименованы с добавлением  слова "ISHTAR-"имя файла"".
      На рабочем столе README-ISHTAR с содержимым:
      # ---------------------------------------------------------------------------------------------------------------------------- # ДЛЯ РАСШИФРОВКИ ФАЙЛОВ ОБРАТИТЕСЬ НА ПОЧТУ support4you@protonmail.com # ЛИБО НА  # BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV ИСПОЛЬЗУЯ BITMESSAGE DESKTOP ИЛИ https://bitmsg.me/ # ---------------------------------------------------------------------------------------------------------------------------- #  # БАЗОВЫЕ ТЕХНИЧЕСКИЕ ДЕТАЛИ: # > Стандартный порядок шифрования: AES 256 + RSA 2048.  # > Для каждого файла создается уникальный AES ключ. # > Расшифровка невозможна без файла ISHTAR.DATA (см. директорию %APPDATA%). # # ----------------------------------------------------------------------------------------------------------------------------     # ---------------------------------------------------------------------------------------------------------------------------- # TO DECRYPT YOUR FILES PLEASE WRITE TO support4you@protonmail.com # OR TO  # BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV USING BITMESSAGE DESKTOP OR https://bitmsg.me/ # ---------------------------------------------------------------------------------------------------------------------------- # # BASIC TECHNICAL DETAILS: # > Standart encryption routine: AES 256 + RSA 2048. # > Every AES key is unique per file. # > Decryption is impossible without ISHTAR.DATA file (see %APPDATA% path). # # ---------------------------------------------------------------------------------------------------------------------------- Скачал ваш логер, файл отчета в приложении. CollectionLog-2017.06.14-15.50.zip
    • Волга
      Проник шифровальчик Ishtar
      Автор Волга
      Здравствуйте. На рабочий компьютер бухгалтера проник шифровальчик Ishtar и все зашифровал. По форуму немного прошелся, шансы есть на восстановление? Все необходимое смогу отправить.

      Если расшифровка не возможна, очистить сможете помощь? Он в программы банковские лазать не умеет? Безопасно пользоваться данным компьютером после очистки?
    • Anjey
      Ishtar
      Автор Anjey
      поймала глав.бух!
      необходима помощь
    • opilune
      Шифровальщик ISHTAR
      Автор opilune
      Добрый вечер, Хелперы. 

      На компьютере похулиганил ISHTAR , соответственно все жесткие диски с файлами ISHTAR-blablabla. Выручайте)

      Windows 7 Professional x86
      Написал на почту к этим . А оно не отправляется мыло.ру, через гугл.ком отправилось)

      Прикрепил:
      1) в архиве ISHTAR.zip (файл ISHTAR.DATA)
      2) Что требуют злодеи
      3) логи сканирования 
      4) отчет сканирования 0ku2qrfn и autologgera
      CollectionLog-2017.05.16-19.33.zip
      ISHTAR.zip
      README-ISHTAR.txt
      avz_log.txt
      cureit.zip
    • Badzho
      Вирус повредил все файлы формата xls, docx, jpg и так далее
      Автор Badzho
      Всем доброго времени суток,
       
      Сегодня бухгалтерия получила вот такое письмо, в спешке не подумав прошли по ссылки и запустили вирус, который повредил все файлы формата xls, docx, jpg и так далее.
       
      От кого: Олеся Новикова <pyotrforsol@mail.ru>
      Кому: test@mail.ru
      Дата: Вторник, 18 апреля 2017, 10:08 +03:00
      Тема: Долг
      Поздравляю Вас со светлым праздником.
      Пишу Вам по вопросу задолженности по оплате за еще январьскую(!) поставку.
      Мы не в состоянии откладывать этот вопрос еще на один месяц, так как закрыли квартал в очень большом минусе.
      Повторно отправляю документы по проблемному платежу через облако : удалено
      Очень рассчитываю на Ваше понимание.

      Заранее спасибо за сотрудничество!!!
      ОАО Инвест Трейд
       
       
      Согласно рекомендации: https://forum.kasper...showtopic=43640
      1. Провел проверку ПК "Kaspersky Virus Removal Tools 2015"
       
      2. Запустил Autologger.exe
       
      3. Приложил логи с Malwarebytes

      Вопрос: Возможно ли восстановить файлы в рабочее состояние?
      CollectionLog-2017.04.21-10.13.zip


      Malwarebytes.txt
×
×
  • Создать...