Перейти к содержанию
Викторина ко дню рождения Евгения Валентиновича Касперского
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Помогите с лечением ishtar

Дмитрий9409075
 Share Подписчики 0

Рекомендуемые сообщения

Дмитрий9409075

Дмитрий9409075 0

Опубликовано
Опубликовано

Открыл письмо с  файлом ексель, после чего произошло заражение компьютера. Все файлы переименованы с добавлением  слова "ISHTAR-"имя файла"".

На рабочем столе README-ISHTAR с содержимым:

# ----------------------------------------------------------------------------------------------------------------------------
# ДЛЯ РАСШИФРОВКИ ФАЙЛОВ ОБРАТИТЕСЬ НА ПОЧТУ support4you@protonmail.com
# ЛИБО НА 
# BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV ИСПОЛЬЗУЯ BITMESSAGE DESKTOP ИЛИ https://bitmsg.me/
# ----------------------------------------------------------------------------------------------------------------------------
# БАЗОВЫЕ ТЕХНИЧЕСКИЕ ДЕТАЛИ:
# > Стандартный порядок шифрования: AES 256 + RSA 2048. 
# > Для каждого файла создается уникальный AES ключ.
# > Расшифровка невозможна без файла ISHTAR.DATA (см. директорию %APPDATA%).
#
# ----------------------------------------------------------------------------------------------------------------------------
 
 
# ----------------------------------------------------------------------------------------------------------------------------
# TO DECRYPT YOUR FILES PLEASE WRITE TO support4you@protonmail.com
# OR TO 
# BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV USING BITMESSAGE DESKTOP OR https://bitmsg.me/
# ----------------------------------------------------------------------------------------------------------------------------
#
# BASIC TECHNICAL DETAILS:
# > Standart encryption routine: AES 256 + RSA 2048.
# > Every AES key is unique per file.
# > Decryption is impossible without ISHTAR.DATA file (see %APPDATA% path).
#
# ----------------------------------------------------------------------------------------------------------------------------
Скачал ваш логер, файл отчета в приложении.

CollectionLog-2017.06.14-15.50.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Test\AppData\Roaming\sc0.au3','');
 QuarantineFile('C:\Users\Test\AppData\Roaming\au0.exe','');
 DeleteFile('C:\Users\Test\AppData\Roaming\au0.exe','32');
 DeleteFile('C:\Users\Test\AppData\Roaming\sc0.au3','32');
 DeleteFile('C:\WINDOWS\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-1-6.job','32');
 DeleteFile('C:\WINDOWS\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-1-7.job','32');
 DeleteFile('C:\WINDOWS\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-10_user.job','32');
 DeleteFile('C:\WINDOWS\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-5.job','32');
 DeleteFile('C:\WINDOWS\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-5_user.job','32');
 DeleteFile('C:\WINDOWS\Tasks\AmiUpdXp.job','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-1-6','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-1-7','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-5_user','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-7','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-11','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-10_user','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-5','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\AmiUpdXp','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5_user','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

Не нужно цитировать полностью ответ хэлпера.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 411

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM-x32\...\Run: [mbot_ru_014010123] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010123] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010144] => [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=ds&ts=1445717136&z=2d9d5344570dec30198e90cg6zezdwbmagdm8gccfq&from=amt&uid=hgstxhts545050a7e380_te95134ng0az3pg0az3px&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1445717136&z=2d9d5344570dec30198e90cg6zezdwbmagdm8gccfq&from=amt&uid=hgstxhts545050a7e380_te95134ng0az3pg0az3px
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1445717136&z=2d9d5344570dec30198e90cg6zezdwbmagdm8gccfq&from=amt&uid=hgstxhts545050a7e380_te95134ng0az3pg0az3px&q={searchTerms}
HKU\S-1-5-21-622489851-2625101665-3915205906-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1445717136&z=2d9d5344570dec30198e90cg6zezdwbmagdm8gccfq&from=amt&uid=hgstxhts545050a7e380_te95134ng0az3pg0az3px
SearchScopes: HKU\S-1-5-21-622489851-2625101665-3915205906-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1445717136&z=2d9d5344570dec30198e90cg6zezdwbmagdm8gccfq&from=amt&uid=hgstxhts545050a7e380_te95134ng0az3pg0az3px&q={searchTerms}
Toolbar: HKU\S-1-5-21-622489851-2625101665-3915205906-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://www.istartpageing.com/newtab/?type=nt&ts=1449162990&z=b48f64910415ac6731a5198g9z9zctfg2q5oat6b9t&from=cmi&uid=HGSTXHTS545050A7E380_TE95134NG0AZ3PG0AZ3PX
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [mkfokfffehpeedafpekjeddnmnjhmcmk] - C:\Program Files (x86)\Norton Internet Security\Engine\21.7.0.11\Exts\Chrome.crx <not found>
OPR Extension: (CiPlus-4.5vV24.10) - C:\Users\Test\AppData\Roaming\Opera Software\Opera Stable\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-10-25]
StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.mystartsearch.com/?type=sc&ts=1445720006&z=2fbea08936a82fa7a251af9g7z5z2wbm3g0tdm5wdt&from=cmi&uid=HGSTXHTS545050A7E380_TE95134NG0AZ3PG0AZ3PX
Task: {BA45E38F-BDEE-4FD9-9E08-55AD2CA5DDF2} - \CCleanerSkipUAC -> No File <==== ATTENTION
Task: {BEC76EA3-1871-403B-BBF5-5EFDBE6F021E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {BF53D05E-FA6F-4489-A5C7-7AA96820F6D0} - \WPD\SqmUpload_S-1-5-21-622489851-2625101665-3915205906-1001 -> No File <==== ATTENTION
Task: {D4B81463-1C6B-4CF8-BF66-7110FE064077} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {EB27156B-2191-418B-AEB4-EAC39FB6CFA9} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {ED45F665-1D42-4F9E-8C24-58A94DE2379B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {F5DB4856-EA44-4A85-B957-E3D976D36A60} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: C:\WINDOWS\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-6.job => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-6.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-7.job => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-7.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-10_user.job => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-10.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-11.job => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-11.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5.job => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5_user.job => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5.exe <==== ATTENTION
Task: {490E002E-C41B-4C7F-8E2E-C217BAAF549B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {7853C58B-A71D-4BAE-9DA7-C6ABB9146D2A} - \a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-7 -> No File <==== ATTENTION
Task: {7B7799BE-DBD5-488F-ACA2-DBFF0785E69A} - \a4d0648d-2a27-4ab3-8090-0fe650ed0c02-11 -> No File <==== ATTENTION
Task: {7E4BBF5E-4D34-4C99-A4DF-A706945AA6C7} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {90AE18E6-F965-4BBE-9BB1-1F9C9A931466} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {9BC371A8-6645-4F9B-B907-E946EE519A0B} - System32\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-10_user => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-10.exe <==== ATTENTION
Task: {9CD62B74-CFE7-4A81-B77F-1D03B16BF353} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {9EA68379-0572-40F0-86EC-5A510762657C} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {0E1303AE-5598-4980-BB88-39C752FE543F} - \a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5_user -> No File <==== ATTENTION
Task: {23E44BA0-83DF-4A90-B7AD-998FF60DE423} - System32\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5 => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5.exe <==== ATTENTION
Task: {2BD998BC-5D1A-4D12-9A8E-77D6083E23F3} - System32\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-6 => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-6.exe <==== ATTENTION
Task: {33AB03F6-FCDF-410D-B0AC-F6782244AF88} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
HKLM\...\StartupApproved\Run32: => "gmsd_ru_005010123"
HKLM\...\StartupApproved\Run32: => "mbot_ru_014010123"
HKLM\...\StartupApproved\Run32: => "gmsd_re_005010157"
HKLM\...\StartupApproved\Run32: => "gmsd_ru_005010144"
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Владлена Чуева
      ishtar
      От Владлена Чуева
      Здравствуйте. прошло 4 года, как по глупости поймала вирус ISHTAR. не теряю надежды, что умы найдут способ расшифровать файлы. Подскажите, где найти дешифратор?
    • Волга
      Проник шифровальчик Ishtar
      От Волга
      Здравствуйте. На рабочий компьютер бухгалтера проник шифровальчик Ishtar и все зашифровал. По форуму немного прошелся, шансы есть на восстановление? Все необходимое смогу отправить.

      Если расшифровка не возможна, очистить сможете помощь? Он в программы банковские лазать не умеет? Безопасно пользоваться данным компьютером после очистки?
    • opilune
      Шифровальщик ISHTAR
      От opilune
      Добрый вечер, Хелперы. 

      На компьютере похулиганил ISHTAR , соответственно все жесткие диски с файлами ISHTAR-blablabla. Выручайте)

      Windows 7 Professional x86
      Написал на почту к этим . А оно не отправляется мыло.ру, через гугл.ком отправилось)

      Прикрепил:
      1) в архиве ISHTAR.zip (файл ISHTAR.DATA)
      2) Что требуют злодеи
      3) логи сканирования 
      4) отчет сканирования 0ku2qrfn и autologgera
      CollectionLog-2017.05.16-19.33.zip
      ISHTAR.zip
      README-ISHTAR.txt
      avz_log.txt
      cureit.zip
    • VOVA-VOVA
      ishtar - поймали вирус, Все как у Всех
      От VOVA-VOVA
      Добрый день
      Сегодня бухгалтер словил ISHTAR , и этот поганец, как водиться закодировал все файлы.
      сразу был скачен и запущен КАСПЕРСКИЙ.
      и видимо он что то почистил, потому я не вижу ни одного файла, речь о которых идет в форуме!
      Ребята подскажите что где искать и как лечить....??
      спасибо
    • Dima321
      Шифровальщик ISHTAR
      От Dima321
      Здравствуйте
       
      Словили ISHTAR на компьютере, все документы и фото оказались зашифрованы. Есть возможность из расшифровать? Зловред удален.
       
       
      CollectionLog-2016.12.02-21.49.zip
×
×
  • Создать...