Перейти к содержанию

Рекомендуемые сообщения

Добрый вечер, Хелперы. 

На компьютере похулиганил ISHTAR ranting.gif, соответственно все жесткие диски с файлами ISHTAR-blablabla. Выручайте)2jump.gif

Windows 7 Professional x86

Написал на почту к этим censored2.gif. А оно не отправляется мыло.ру, через гугл.ком отправилось)

Прикрепил:
1) в архиве ISHTAR.zip (файл ISHTAR.DATA)
2) Что требуют злодеи
3) логи сканирования 

4) отчет сканирования 0ku2qrfn и autologgera

CollectionLog-2017.05.16-19.33.zip

ISHTAR.zip

README-ISHTAR.txt

avz_log.txt

cureit.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Run: [DicterRu] => [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.dosearches.com/?utm_source=b&utm_medium=s32&utm_campaign=eXQ&utm_content=hp&from=s32&uid=ST3320620AS_6QF3JJ45XXXX6QF3JJ45&ts=1383289255
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.dosearches.com/?utm_source=b&utm_medium=s32&utm_campaign=eXQ&utm_content=hp&from=s32&uid=ST3320620AS_6QF3JJ45XXXX6QF3JJ45&ts=1383289255
HKU
HKU\S-1-5-21-2890455805-1038546663-1799429549-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.dosearches.com/?utm_source=b&utm_medium=s32&utm_campaign=eXQ&utm_content=hp&from=s32&uid=ST3320620AS_6QF3JJ45XXXX6QF3JJ45&ts=1383289255
HKU\S-1-5-21-2890455805-1038546663-1799429549-1000\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.yandex.ru/?win=96&clid=1872363
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=s32&utm_campaign=eXQ&utm_content=ds&from=s32&uid=ST3320620AS_6QF3JJ45XXXX6QF3JJ45&ts=1383289255&type=default&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=s32&utm_campaign=eXQ&utm_content=ds&from=s32&uid=ST3320620AS_6QF3JJ45XXXX6QF3JJ45&ts=1383289255&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2890455805-1038546663-1799429549-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=s32&utm_campaign=eXQ&utm_content=ds&from=s32&uid=ST3320620AS_6QF3JJ45XXXX6QF3JJ45&ts=1383289255&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2890455805-1038546663-1799429549-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = hxxp://www.daemon-search.com/search/web?q={searchTerms}
SearchScopes: HKU\S-1-5-21-2890455805-1038546663-1799429549-1000 -> {CF739809-1C6C-47C0-85B9-569DBB141420} URL = hxxp://toolbar.ask.com/toolbarv/askRedirect?gct=&gc=1&q={searchTerms}&crm=1&toolbar=FXT
BHO: AskBar BHO -> {201f27d4-3704-41d6-89c1-aa35e39143ed} -> D:\Program Files\AskBarDis\bar\bin\askBar.dll [2008-11-18] (Ask.com)
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKLM - Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - D:\Program Files\AskBarDis\bar\bin\askBar.dll [2008-11-18] (Ask.com)
Toolbar: HKU\S-1-5-21-2890455805-1038546663-1799429549-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-2890455805-1038546663-1799429549-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
StartMenuInternet: IEXPLORE.EXE - D:\Program Files\Internet Explorer\iexplore.exe hxxp://www.dosearches.com/?utm_source=b&utm_medium=s32&utm_campaign=eXQ&utm_content=sc&from=s32&uid=ST3320620AS_6QF3JJ45XXXX6QF3JJ45&ts=1383289255
CHR Extension: (HTML5 location provider) - D:\Users\Elcin\AppData\Local\Google\Chrome\User Data\Default\Extensions\nhgcieglcpdegkhamigiokdphfhhnlhh [2014-05-15] [UpdateUrl: hxxp://dl.p.altergeo.ru/chrome/update.xml] <==== ATTENTION
2014-05-13 08:21 - 2014-05-13 08:22 - 45972000 _____ (LLC Mail.Ru) D:\Users\Elcin\AppData\Local\Temp\36A3.exe
2012-10-09 13:43 - 2012-10-09 13:43 - 0000000 ____T () D:\Users\Elcin\AppData\Local\Temp\AEV9F5.exe
2017-04-18 13:51 - 2017-04-18 13:51 - 1220220 _____ () D:\Users\Elcin\AppData\Roaming\Счет - задолженность по договору_отправлено повторно 18 04 2017 года_согласовано директором_5.tmp
AlternateDataStreams: D:\ProgramData\TEMP:8FF81EB0 [229]
AlternateDataStreams: D:\Users\Все пользователи\TEMP:8FF81EB0 [229]
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • WL787878
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • Aleksandr63
      От Aleksandr63
      Здравствуйте! зашифровало всё
      Новая папка.7z FRST.txt
    • tom1
      От tom1
      Здравствуйте.
      Поймали шифровальщик, зашифровал файлы с расширением .wtch. После чего произошло, сказать затрудняюсь (возможно, был получен удаленный доступ к компьютеру, был найден на компьютере advanced port scanner). Помогите, пожалуйста, если есть возможность. Отчеты Farbar и зашифрованные файлы прикладываю. Злоумышленники требуют писать им на почту DecryptData@skiff.com.
      Файл самого шифровальщика обнаружен, готов предоставить.
      Addition.txt FRST.txt файлы.zip
×
×
  • Создать...