Перейти к содержанию

Шифровальщик ISHTAR

opilune
 Share Подписчики 1

Рекомендуемые сообщения

opilune

opilune 0

Опубликовано
Опубликовано

Добрый вечер, Хелперы. 

На компьютере похулиганил ISHTAR ranting.gif, соответственно все жесткие диски с файлами ISHTAR-blablabla. Выручайте)2jump.gif

Windows 7 Professional x86

Написал на почту к этим censored2.gif. А оно не отправляется мыло.ру, через гугл.ком отправилось)

Прикрепил:
1) в архиве ISHTAR.zip (файл ISHTAR.DATA)
2) Что требуют злодеи
3) логи сканирования 

4) отчет сканирования 0ku2qrfn и autologgera

CollectionLog-2017.05.16-19.33.zip

ISHTAR.zip

README-ISHTAR.txt

avz_log.txt

cureit.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Run: [DicterRu] => [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.dosearches.com/?utm_source=b&utm_medium=s32&utm_campaign=eXQ&utm_content=hp&from=s32&uid=ST3320620AS_6QF3JJ45XXXX6QF3JJ45&ts=1383289255
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.dosearches.com/?utm_source=b&utm_medium=s32&utm_campaign=eXQ&utm_content=hp&from=s32&uid=ST3320620AS_6QF3JJ45XXXX6QF3JJ45&ts=1383289255
HKU
HKU\S-1-5-21-2890455805-1038546663-1799429549-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.dosearches.com/?utm_source=b&utm_medium=s32&utm_campaign=eXQ&utm_content=hp&from=s32&uid=ST3320620AS_6QF3JJ45XXXX6QF3JJ45&ts=1383289255
HKU\S-1-5-21-2890455805-1038546663-1799429549-1000\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.yandex.ru/?win=96&clid=1872363
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=s32&utm_campaign=eXQ&utm_content=ds&from=s32&uid=ST3320620AS_6QF3JJ45XXXX6QF3JJ45&ts=1383289255&type=default&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=s32&utm_campaign=eXQ&utm_content=ds&from=s32&uid=ST3320620AS_6QF3JJ45XXXX6QF3JJ45&ts=1383289255&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2890455805-1038546663-1799429549-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=s32&utm_campaign=eXQ&utm_content=ds&from=s32&uid=ST3320620AS_6QF3JJ45XXXX6QF3JJ45&ts=1383289255&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2890455805-1038546663-1799429549-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = hxxp://www.daemon-search.com/search/web?q={searchTerms}
SearchScopes: HKU\S-1-5-21-2890455805-1038546663-1799429549-1000 -> {CF739809-1C6C-47C0-85B9-569DBB141420} URL = hxxp://toolbar.ask.com/toolbarv/askRedirect?gct=&gc=1&q={searchTerms}&crm=1&toolbar=FXT
BHO: AskBar BHO -> {201f27d4-3704-41d6-89c1-aa35e39143ed} -> D:\Program Files\AskBarDis\bar\bin\askBar.dll [2008-11-18] (Ask.com)
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKLM - Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - D:\Program Files\AskBarDis\bar\bin\askBar.dll [2008-11-18] (Ask.com)
Toolbar: HKU\S-1-5-21-2890455805-1038546663-1799429549-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-2890455805-1038546663-1799429549-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
StartMenuInternet: IEXPLORE.EXE - D:\Program Files\Internet Explorer\iexplore.exe hxxp://www.dosearches.com/?utm_source=b&utm_medium=s32&utm_campaign=eXQ&utm_content=sc&from=s32&uid=ST3320620AS_6QF3JJ45XXXX6QF3JJ45&ts=1383289255
CHR Extension: (HTML5 location provider) - D:\Users\Elcin\AppData\Local\Google\Chrome\User Data\Default\Extensions\nhgcieglcpdegkhamigiokdphfhhnlhh [2014-05-15] [UpdateUrl: hxxp://dl.p.altergeo.ru/chrome/update.xml] <==== ATTENTION
2014-05-13 08:21 - 2014-05-13 08:22 - 45972000 _____ (LLC Mail.Ru) D:\Users\Elcin\AppData\Local\Temp\36A3.exe
2012-10-09 13:43 - 2012-10-09 13:43 - 0000000 ____T () D:\Users\Elcin\AppData\Local\Temp\AEV9F5.exe
2017-04-18 13:51 - 2017-04-18 13:51 - 1220220 _____ () D:\Users\Elcin\AppData\Roaming\Счет - задолженность по договору_отправлено повторно 18 04 2017 года_согласовано директором_5.tmp
AlternateDataStreams: D:\ProgramData\TEMP:8FF81EB0 [229]
AlternateDataStreams: D:\Users\Все пользователи\TEMP:8FF81EB0 [229]
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Владлена Чуева
      ishtar
      От Владлена Чуева
      Здравствуйте. прошло 4 года, как по глупости поймала вирус ISHTAR. не теряю надежды, что умы найдут способ расшифровать файлы. Подскажите, где найти дешифратор?
    • Дмитрий9409075
      Помогите с лечением ishtar
      От Дмитрий9409075
      Открыл письмо с  файлом ексель, после чего произошло заражение компьютера. Все файлы переименованы с добавлением  слова "ISHTAR-"имя файла"".
      На рабочем столе README-ISHTAR с содержимым:
      # ---------------------------------------------------------------------------------------------------------------------------- # ДЛЯ РАСШИФРОВКИ ФАЙЛОВ ОБРАТИТЕСЬ НА ПОЧТУ support4you@protonmail.com # ЛИБО НА  # BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV ИСПОЛЬЗУЯ BITMESSAGE DESKTOP ИЛИ https://bitmsg.me/ # ---------------------------------------------------------------------------------------------------------------------------- #  # БАЗОВЫЕ ТЕХНИЧЕСКИЕ ДЕТАЛИ: # > Стандартный порядок шифрования: AES 256 + RSA 2048.  # > Для каждого файла создается уникальный AES ключ. # > Расшифровка невозможна без файла ISHTAR.DATA (см. директорию %APPDATA%). # # ----------------------------------------------------------------------------------------------------------------------------     # ---------------------------------------------------------------------------------------------------------------------------- # TO DECRYPT YOUR FILES PLEASE WRITE TO support4you@protonmail.com # OR TO  # BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV USING BITMESSAGE DESKTOP OR https://bitmsg.me/ # ---------------------------------------------------------------------------------------------------------------------------- # # BASIC TECHNICAL DETAILS: # > Standart encryption routine: AES 256 + RSA 2048. # > Every AES key is unique per file. # > Decryption is impossible without ISHTAR.DATA file (see %APPDATA% path). # # ---------------------------------------------------------------------------------------------------------------------------- Скачал ваш логер, файл отчета в приложении. CollectionLog-2017.06.14-15.50.zip
    • Волга
      Проник шифровальчик Ishtar
      От Волга
      Здравствуйте. На рабочий компьютер бухгалтера проник шифровальчик Ishtar и все зашифровал. По форуму немного прошелся, шансы есть на восстановление? Все необходимое смогу отправить.

      Если расшифровка не возможна, очистить сможете помощь? Он в программы банковские лазать не умеет? Безопасно пользоваться данным компьютером после очистки?
    • VOVA-VOVA
      ishtar - поймали вирус, Все как у Всех
      От VOVA-VOVA
      Добрый день
      Сегодня бухгалтер словил ISHTAR , и этот поганец, как водиться закодировал все файлы.
      сразу был скачен и запущен КАСПЕРСКИЙ.
      и видимо он что то почистил, потому я не вижу ни одного файла, речь о которых идет в форуме!
      Ребята подскажите что где искать и как лечить....??
      спасибо
    • Dima321
      Шифровальщик ISHTAR
      От Dima321
      Здравствуйте
       
      Словили ISHTAR на компьютере, все документы и фото оказались зашифрованы. Есть возможность из расшифровать? Зловред удален.
       
       
      CollectionLog-2016.12.02-21.49.zip
×
×
  • Создать...