Перейти к содержанию

Шифровальщик ISHTAR

Focusnik
 Поделиться

Рекомендуемые сообщения

Focusnik

Focusnik

Опубликовано
Опубликовано

Добрый день.

 

Дабы не плодить темы, тоже попрошу помощи тут.

Шифровальщик тот же, что и у ТС. Загрузил ОС с флешки и вычистил с помощью KVRT. Бекапы пока не распаковываю, т.к. хочется, убедиться, что нигде не осталось этой гадости.

 


Кстати заметил, что перестали работать msc файлы. Т.е. через mmc открыть к примеру планировщик заданий можно, а запустив файл taskschd.msc - нет.

CollectionLog-2017.03.14-12.17.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

На момент заражения была ли включена эта настройка?

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\ob_lien\AppData\Roaming\xaYHf.exe', '');
 DeleteFile('C:\Users\ob_lien\AppData\Roaming\xaYHf.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Focusnik

Focusnik

Опубликовано
  • Автор
Опубликовано (изменено)

Настройка не работала, т.к. бюрократия... в общем лицензию не могут продлить с ноября месяца, потому что решили проводить это через закупки.

Файла 'C:\Users\ob_lien\AppData\Roaming\xaYHf.exe' нет, прибит KVRT, в реестре ссылку на него я нашел и удалил вручную.

Изменено пользователем Focusnik
Sandor

Sandor

Опубликовано
Опубликовано

Все-таки выполните скрипт и сделайте повторный лог.

Sandor

Sandor

Опубликовано
Опубликовано

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
FF Extension: (\u0421\u043E\u0432\u0435\u0442\u043D\u0438\u043A\u0020\u042F\u043D\u0434\u0435\u043A\u0441\u002E\u041C\u0430\u0440\u043A\u0435\u0442\u0430) - C:\Users\ob_lien\AppData\Roaming\Mozilla\Firefox\Profiles\jf2igfoc.default\Extensions\sovetnik@metabar.ru.xpi [2017-02-22]
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

перестали работать msc файлы

Это еще актуально?
Focusnik

Focusnik

Опубликовано
  • Автор
Опубликовано

Нет. Исправил через "Сопоставление типов файлов или протоколов конкретным программам".

Спасибо.

Мария Бухгалтер

Мария Бухгалтер

Опубликовано
Опубликовано

Здравствуйте.. помогите пожалуйста. Сегодня на почту пришло письмо якобы от поставщика "Акт-сверки" открыла и все файлы за шифровались. Впереди у файлов пишется ISHTAR. Что можно сделать?

Sandor

Sandor

Опубликовано
Опубликовано

@Мария Бухгалтер, здравствуйте!

 

Не пишите в чужой теме, создайте свою.

С расшифровкой помочь не сможем. Сможем проверить в порядке ли система.

Если это Вам необходимо, в новой теме выполните Порядок оформления запроса о помощи

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Badzho
      Вирус повредил все файлы формата xls, docx, jpg и так далее
      Автор Badzho
      Всем доброго времени суток,
       
      Сегодня бухгалтерия получила вот такое письмо, в спешке не подумав прошли по ссылки и запустили вирус, который повредил все файлы формата xls, docx, jpg и так далее.
       
      От кого: Олеся Новикова <pyotrforsol@mail.ru>
      Кому: test@mail.ru
      Дата: Вторник, 18 апреля 2017, 10:08 +03:00
      Тема: Долг
      Поздравляю Вас со светлым праздником.
      Пишу Вам по вопросу задолженности по оплате за еще январьскую(!) поставку.
      Мы не в состоянии откладывать этот вопрос еще на один месяц, так как закрыли квартал в очень большом минусе.
      Повторно отправляю документы по проблемному платежу через облако : удалено
      Очень рассчитываю на Ваше понимание.

      Заранее спасибо за сотрудничество!!!
      ОАО Инвест Трейд
       
       
      Согласно рекомендации: https://forum.kasper...showtopic=43640
      1. Провел проверку ПК "Kaspersky Virus Removal Tools 2015"
       
      2. Запустил Autologger.exe
       
      3. Приложил логи с Malwarebytes

      Вопрос: Возможно ли восстановить файлы в рабочее состояние?
      CollectionLog-2017.04.21-10.13.zip


      Malwarebytes.txt
    • Zhaxylyk
      Вирус повредил все файлы формата xls, docx, jpg и так далее
      Автор Zhaxylyk
      Здравствуйте,
       
      Сегодня бухгалтерия получила вот такое письмо, в спешке не подумав прошли по ссылки и запустили вирус, который повредил все файлы формата xls, docx, jpg и так далее.
       
      Текст письма:
       
      От кого: Анна Кудрявцева lev4b66g@mail.ru
      Кому: test@mail.ru
      Дата: 20 апреля 2017, 13:39
       
      Доброго Вам дня!
      Мы сосавили акт сверки по рассчетам за период с 01 01 2017 по сегодняшний день. Просим рассмотреть документ и, в случае отсутствия разногласий, написать мне.
      По итогам 4-х месяцев по вашей фирме отображается небольшой долг. 
      Скан подписанного с нашей стороны документа скинули на файлообменник: https://cloud.mail.ru/public/3kXe/SPuQ3swBF 

      С уважением, 
      ООО Вендор-Д   Согласно рекомендации: https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]   1. Провел проверку ПК "Kaspersky Virus Removal Tools 2015", "Malwarebytes" 2. Запустил Autologger.exe
      3. Приложил логи 

      Вопрос: Возможно ли восстановить файлы в рабочее состояние?   
         
      CollectionLog-2017.04.21-13.41.zip
    • Caiiiok
      Шифровальщик ISHTAR
      Автор Caiiiok
      Поймали шифровальшик помогите вылечить.
      Возможна ли расшифпровка файлов через лабораторию Касперского?
      CollectionLog-2017.03.09-12.14.zip
    • VDA76
      Вирус Иштар
      Автор VDA76
      Здравствуйте помогите пожалуйста вирус Иштар защифровал файлы на компьютере
       
       
    • Мария Бухгалтер
      Вирус - шифровальщик ISHTAR
      Автор Мария Бухгалтер
      Здравствуйте ещё раз, создала свою тему, что бы не засорять другие. Сегодня утром открыла письмо от поставщика с электронной почты "Акт-сверки" чем запустила вирус - шифровальщик ISHTAR. Помогите пожалуйста советом, что можно сделать?  Можно ли спасти программы и какие вообще мне предпринять действия. Полазив на форумах, скачала программу Farbar Recovery Scan Tool. Сделала сканирование, программа выдала 2 файла. Что дальше делать ума не приложу.
      Addition.txt
      FRST.txt
×
×
  • Создать...