ishtar Вирус - шифровальщик ISHTAR

[Мария Бухгалтер]

Здравствуйте ещё раз, создала свою тему, что бы не засорять другие. Сегодня утром открыла письмо от поставщика с электронной почты "Акт-сверки" чем запустила вирус - шифровальщик ISHTAR. Помогите пожалуйста советом, что можно сделать?  Можно ли спасти программы и какие вообще мне предпринять действия. Полазив на форумах, скачала программу Farbar Recovery Scan Tool. Сделала сканирование, программа выдала 2 файла. Что дальше делать ума не приложу.

Addition.txt

FRST.txt

[Sandor]

Начните все же с отчетов по правилам, т.е. CollectionLog, собранный с помощью Автологера.

[Мария Бухгалтер]

Установила программу Касперского KVRT при первом запуске показал 79 угроз, удалила, компьютер перезагрузился.. Запустила снова проверку уже выдает 106 объектов. Папка AutoLogger-test не открывается, пишет ошибку. 

[Sandor]

Соберите отчёты этой версией Автологера.

[Мария Бухгалтер]

CollectionLog-2017.03.17-14.54.zip  

Можете подсказать что делать дальше?

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

amuleC

aMuleCustom

amulesw

BikaQ Rss

etranslator

mystartsearch uninstall

qksee

sCloudStatusCheck

Time tasks

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('BangcarSU');
 StopService('CansuckSU');
 StopService('FootperSU');
 StopService('NoflatSU');
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\CFF3~1\AppData\Local\Temp\1\BaofengUpdate_U.exe', '');
 QuarantineFile('C:\windows\TEMP\nsiA77D.tmp\ttff.exe', '');
 QuarantineFile('C:\Users\CFF3~1\AppData\Local\Temp\2\ttff.exe', '');
 QuarantineFile('C:\windows\TEMP\nsiEB5B.tmp\Binstall.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\Users\CFF3~1\AppData\Local\Temp\7zSC81F.tmp\20111214_FWUpg1120\XEventMessage.dll', '');
 QuarantineFile('C:\UTM\agent\bin\agent.bat', '');
 QuarantineFile('C:\iexplore.bat', '');
 QuarantineFile('c:\program files (x86)\common files\services\ithemes.dll', '');
 QuarantineFile('c:\program files (x86)\firefox\bin\firefoxupdate.exe', '');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe', '');
 QuarantineFile('C:\Program Files (x86)\MIO\MIO.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Kinoroom Browser" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{B6E9566C-E760-473C-93EB-15A6A150CFFC}" /F', 0, 15000, true);
 DeleteFile('C:\Users\CFF3~1\AppData\Local\Temp\1\BaofengUpdate_U.exe', '32');
 DeleteFile('C:\windows\TEMP\nsiA77D.tmp\ttff.exe', '32');
 DeleteFile('C:\Users\CFF3~1\AppData\Local\Temp\2\ttff.exe', '32');
 DeleteFile('c:\program files (x86)\firefox\bin\firefoxupdate.exe');
 DeleteFile('c:\program files (x86)\common files\services\ithemes.dll');
 DeleteFile('C:\windows\TEMP\nsiEB5B.tmp\Binstall.exe', '32');
 DeleteFile('C:\Program Files (x86)\MIO\MIO.exe');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\Users\CFF3~1\AppData\Local\Temp\7zSC81F.tmp\20111214_FWUpg1120\XEventMessage.dll', '32');
 DeleteFile('C:\iexplore.bat', '32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\kinoroom-browser.exe', '32');
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
 DeleteDirectory('c:\program files (x86)\kinoroom browser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Application Restart #2');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 DeleteService('BangcarSU');
 DeleteService('CansuckSU');
 DeleteService('FootperSU');
 DeleteService('NoflatSU');
ExecuteSysClean;
 ExecuteRepair(2);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Мария Бухгалтер]

ClearLNK-17.03.2017_16-40.log

[KLAN-5972803346]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
agent.bat
ithemes.dll
firefoxupdate.exe
MIO.exe

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

AdwCleanerS0.txt

Вроде всё сделала так как описано.

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Прокси
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Мария Бухгалтер]

AdwCleanerC0.txt

Addition.txtFRST.txt

У меня почему то только 2 файла образовалось

AdwCleanerS1.txt

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

WinSnare

WinZip

Word Proser 1.10.0.5

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
() C:\ProgramData\Junedoor\Junedoor.exe
CHR DefaultSearchURL: Default -> hxxp://www.nicesearches.com/search.php?type=ds&ts=1457345184&from=zzgbkk123&uid=samsungxmz7pc128hafu-000_s0ygnyabc25360&z=fec92ec108461b16129c734g3z1wdm7cez1weg7b8z&q={searchTerms}
CHR DefaultSearchKeyword: Default -> nice
CHR Extension: (Стартовая — Яндекс) - C:\Users\М.Видео\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpegcopcfajiiibidlaelhjjblpefbjk [2017-02-03]
CHR Extension: (Новая вкладка – Яндекс) - C:\Users\М.Видео\AppData\Local\Google\Chrome\User Data\Default\Extensions\hdpgllbnilfcbckbdchjcfgopijgllcm [2017-01-03]
CHR Extension: (Скачивайте расширения для Chrome, софт.) - C:\Users\М.Видео\AppData\Local\Google\Chrome\User Data\DFLTUSER\Extensions\cfaiecaipbfijlkohjkceigckpmdmgob [2015-03-24]
CHR Extension: (Яндекс) - C:\Users\М.Видео\AppData\Local\Google\Chrome\User Data\DFLTUSER\Extensions\cncgohepihcekklokhbhiblhfcmipbdh [2015-01-29]
CHR Extension: (SocialLife for Google Chrome™) - C:\Users\М.Видео\AppData\Local\Google\Chrome\User Data\DFLTUSER\Extensions\gmbgaklkmjakoegficnlkhebmhkjfich [2015-01-07]
CHR Extension: (Mail.Ru) - C:\Users\М.Видео\AppData\Local\Google\Chrome\User Data\DFLTUSER\Extensions\jggbjbmnfmipgcanidamjfpechdeekoi [2014-10-06]
CHR Extension: (Домашняя страница – Mail.Ru) - C:\Users\М.Видео\AppData\Local\Google\Chrome\User Data\DFLTUSER\Extensions\pldbienodkpgkccocelidinmciedjdok [2014-10-06]
OPR Extension: (SocialLife for Google Chrome™) - C:\Users\М.Видео\AppData\Roaming\Opera Software\Opera Stable\Extensions\djnfikhimijfcoaoblganhllmdjejggi [2015-01-07]
S2 JunedoorU; "C:\Program Files (x86)\Junedoor\Update\JunedoorUpdate.exe" [X]
S1 {bf5001a3-ae7a-4910-925a-5060ef2c0508}Gw64; system32\drivers\{bf5001a3-ae7a-4910-925a-5060ef2c0508}Gw64.sys [X]
2017-03-17 09:05 - 2017-03-17 09:06 - 00001077 _____ C:\Users\М.Видео\AppData\Roaming\ISHTAR.DATA
2017-03-17 09:05 - 2017-03-17 09:05 - 00001824 _____ C:\Users\М.Видео\AppData\Roaming\README-ISHTAR.txt
2017-03-17 09:02 - 2017-03-17 10:15 - 01220225 _____ C:\Users\М.Видео\AppData\Roaming\Wd8kMt0.tmp
2015-06-08 12:46 - 2015-06-08 12:45 - 0613255 _____ (CMI Limited) C:\Users\М.Видео\AppData\Local\nss8C6.tmp
2015-06-04 14:31 - 2015-06-04 14:30 - 0613255 _____ (CMI Limited) C:\Users\М.Видео\AppData\Local\nsu2CE.tmp
2015-06-04 13:33 - 2015-06-04 13:33 - 0613255 _____ (CMI Limited) C:\Users\М.Видео\AppData\Local\nsu8536.tmp
Task: {107A7031-3EE9-4DB5-9BED-5BE982215C84} - \{CADF11CE-A85F-4962-8BC6-7E76B6921D47} -> No File <==== ATTENTION
Task: {2311E4A5-6F40-453C-8C5A-4AC559207799} - System32\Tasks\JunedoorUpdateTaskMachineCore => C:\Program Files (x86)\Junedoor\Update\JunedoorUpdate.exe  <==== ATTENTION
Task: {33A80833-FE02-499E-BA19-B205A472A1AD} - System32\Tasks\JunedoorUpdateTaskMachineUA => C:\Program Files (x86)\Junedoor\Update\JunedoorUpdate.exe  <==== ATTENTION
Task: {7DE0CE86-AA38-4073-8555-0F62E3B9567B} - System32\Tasks\kbrowser-updater-utility => C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe 
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
FirewallRules: [{083BA8EE-42D2-4A71-9474-2B4A19B02D6A}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{1E4E306D-D639-4A4F-A856-6DFC4C0EF681}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Мария Бухгалтер]

Fixlog.txt

[Sandor]

Рекламное ПО и следы вымогателя очищены.

 

С расшифровкой, к сожалению, помочь не сможем.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Мария Бухгалтер]

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft Silverlight v.4.0.50401.0 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 4.2 v.4.2.169 Внимание! Скачать обновления

^Необязательное обновление.^

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 101 v.8.0.1010.13 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u121-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 10 ActiveX v.10.3.181.34 Внимание! Скачать обновления

------------------------------- [ Browser ] -------------------------------

Yandex v.17.3.0.1785 Внимание! Скачать обновления

^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Google Chrome v.56.0.2924.87 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

Opera Stable 36.0.2130.32 v.36.0.2130.32 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

----------------------------- [ EmailClient ] -----------------------------

Windows Live Mail v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.

„Windows Live Mail“ v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.

Почта Windows Live v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.

---------------------------- [ UnwantedApps ] -----------------------------

Кнопка "Яндекс" на панели задач v.2.0.1.2130 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

WildTangent ORB Game Console << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

WildTangent Games v.1.0.1.5 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

deskapp v.1.0.7 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Update Installer for WildTangent Games App << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

WildTangent Games App v.4.1.1.14 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[Мария Бухгалтер]

Спасибо большое)Вы мне очень помогли!)