Перейти к содержанию

Помогите с лечением ishtar

Дмитрий9409075
 Share

Рекомендуемые сообщения

Дмитрий9409075 Новичок

Дмитрий9409075

Опубликовано
Опубликовано

Открыл письмо с  файлом ексель, после чего произошло заражение компьютера. Все файлы переименованы с добавлением  слова "ISHTAR-"имя файла"".

На рабочем столе README-ISHTAR с содержимым:

# ----------------------------------------------------------------------------------------------------------------------------
# ДЛЯ РАСШИФРОВКИ ФАЙЛОВ ОБРАТИТЕСЬ НА ПОЧТУ support4you@protonmail.com
# ЛИБО НА 
# BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV ИСПОЛЬЗУЯ BITMESSAGE DESKTOP ИЛИ https://bitmsg.me/
# ----------------------------------------------------------------------------------------------------------------------------
# БАЗОВЫЕ ТЕХНИЧЕСКИЕ ДЕТАЛИ:
# > Стандартный порядок шифрования: AES 256 + RSA 2048. 
# > Для каждого файла создается уникальный AES ключ.
# > Расшифровка невозможна без файла ISHTAR.DATA (см. директорию %APPDATA%).
#
# ----------------------------------------------------------------------------------------------------------------------------
 
 
# ----------------------------------------------------------------------------------------------------------------------------
# TO DECRYPT YOUR FILES PLEASE WRITE TO support4you@protonmail.com
# OR TO 
# BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV USING BITMESSAGE DESKTOP OR https://bitmsg.me/
# ----------------------------------------------------------------------------------------------------------------------------
#
# BASIC TECHNICAL DETAILS:
# > Standart encryption routine: AES 256 + RSA 2048.
# > Every AES key is unique per file.
# > Decryption is impossible without ISHTAR.DATA file (see %APPDATA% path).
#
# ----------------------------------------------------------------------------------------------------------------------------
Скачал ваш логер, файл отчета в приложении.

CollectionLog-2017.06.14-15.50.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Test\AppData\Roaming\sc0.au3','');
 QuarantineFile('C:\Users\Test\AppData\Roaming\au0.exe','');
 DeleteFile('C:\Users\Test\AppData\Roaming\au0.exe','32');
 DeleteFile('C:\Users\Test\AppData\Roaming\sc0.au3','32');
 DeleteFile('C:\WINDOWS\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-1-6.job','32');
 DeleteFile('C:\WINDOWS\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-1-7.job','32');
 DeleteFile('C:\WINDOWS\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-10_user.job','32');
 DeleteFile('C:\WINDOWS\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-5.job','32');
 DeleteFile('C:\WINDOWS\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-5_user.job','32');
 DeleteFile('C:\WINDOWS\Tasks\AmiUpdXp.job','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-1-6','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-1-7','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-5_user','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-7','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-11','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-10_user','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-5','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\AmiUpdXp','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5_user','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Не нужно цитировать полностью ответ хэлпера.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM-x32\...\Run: [mbot_ru_014010123] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010123] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010144] => [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=ds&ts=1445717136&z=2d9d5344570dec30198e90cg6zezdwbmagdm8gccfq&from=amt&uid=hgstxhts545050a7e380_te95134ng0az3pg0az3px&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1445717136&z=2d9d5344570dec30198e90cg6zezdwbmagdm8gccfq&from=amt&uid=hgstxhts545050a7e380_te95134ng0az3pg0az3px
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1445717136&z=2d9d5344570dec30198e90cg6zezdwbmagdm8gccfq&from=amt&uid=hgstxhts545050a7e380_te95134ng0az3pg0az3px&q={searchTerms}
HKU\S-1-5-21-622489851-2625101665-3915205906-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1445717136&z=2d9d5344570dec30198e90cg6zezdwbmagdm8gccfq&from=amt&uid=hgstxhts545050a7e380_te95134ng0az3pg0az3px
SearchScopes: HKU\S-1-5-21-622489851-2625101665-3915205906-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1445717136&z=2d9d5344570dec30198e90cg6zezdwbmagdm8gccfq&from=amt&uid=hgstxhts545050a7e380_te95134ng0az3pg0az3px&q={searchTerms}
Toolbar: HKU\S-1-5-21-622489851-2625101665-3915205906-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://www.istartpageing.com/newtab/?type=nt&ts=1449162990&z=b48f64910415ac6731a5198g9z9zctfg2q5oat6b9t&from=cmi&uid=HGSTXHTS545050A7E380_TE95134NG0AZ3PG0AZ3PX
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [mkfokfffehpeedafpekjeddnmnjhmcmk] - C:\Program Files (x86)\Norton Internet Security\Engine\21.7.0.11\Exts\Chrome.crx <not found>
OPR Extension: (CiPlus-4.5vV24.10) - C:\Users\Test\AppData\Roaming\Opera Software\Opera Stable\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-10-25]
StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.mystartsearch.com/?type=sc&ts=1445720006&z=2fbea08936a82fa7a251af9g7z5z2wbm3g0tdm5wdt&from=cmi&uid=HGSTXHTS545050A7E380_TE95134NG0AZ3PG0AZ3PX
Task: {BA45E38F-BDEE-4FD9-9E08-55AD2CA5DDF2} - \CCleanerSkipUAC -> No File <==== ATTENTION
Task: {BEC76EA3-1871-403B-BBF5-5EFDBE6F021E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {BF53D05E-FA6F-4489-A5C7-7AA96820F6D0} - \WPD\SqmUpload_S-1-5-21-622489851-2625101665-3915205906-1001 -> No File <==== ATTENTION
Task: {D4B81463-1C6B-4CF8-BF66-7110FE064077} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {EB27156B-2191-418B-AEB4-EAC39FB6CFA9} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {ED45F665-1D42-4F9E-8C24-58A94DE2379B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {F5DB4856-EA44-4A85-B957-E3D976D36A60} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: C:\WINDOWS\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-6.job => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-6.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-7.job => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-7.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-10_user.job => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-10.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-11.job => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-11.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5.job => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5_user.job => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5.exe <==== ATTENTION
Task: {490E002E-C41B-4C7F-8E2E-C217BAAF549B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {7853C58B-A71D-4BAE-9DA7-C6ABB9146D2A} - \a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-7 -> No File <==== ATTENTION
Task: {7B7799BE-DBD5-488F-ACA2-DBFF0785E69A} - \a4d0648d-2a27-4ab3-8090-0fe650ed0c02-11 -> No File <==== ATTENTION
Task: {7E4BBF5E-4D34-4C99-A4DF-A706945AA6C7} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {90AE18E6-F965-4BBE-9BB1-1F9C9A931466} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {9BC371A8-6645-4F9B-B907-E946EE519A0B} - System32\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-10_user => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-10.exe <==== ATTENTION
Task: {9CD62B74-CFE7-4A81-B77F-1D03B16BF353} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {9EA68379-0572-40F0-86EC-5A510762657C} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {0E1303AE-5598-4980-BB88-39C752FE543F} - \a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5_user -> No File <==== ATTENTION
Task: {23E44BA0-83DF-4A90-B7AD-998FF60DE423} - System32\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5 => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5.exe <==== ATTENTION
Task: {2BD998BC-5D1A-4D12-9A8E-77D6083E23F3} - System32\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-6 => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-6.exe <==== ATTENTION
Task: {33AB03F6-FCDF-410D-B0AC-F6782244AF88} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
HKLM\...\StartupApproved\Run32: => "gmsd_ru_005010123"
HKLM\...\StartupApproved\Run32: => "mbot_ru_014010123"
HKLM\...\StartupApproved\Run32: => "gmsd_re_005010157"
HKLM\...\StartupApproved\Run32: => "gmsd_ru_005010144"
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • tkm
      [РЕШЕНО] Прошу помощи в лечении ПК
      От tkm
      Здравствуйте!
      Как было рекомендовано в разделе "Порядок оформления запроса о помощи" проверил ПК антивирусом, но скачать актуальную версию автоматического сборщика логов не дает McAffe (установлен был лет 5-6 назад). Удалял его обычными средствами, но видимо не получилось. 
      Пожалуйста подскажите, как решить проблему
    • tranquilo
      [РЕШЕНО] HEUR:Trojan.Multi.GenBadur.genw после лечения с перезагрузкой появляется вновь
      От tranquilo
      Здравствуйте! Вирус HEUR:Trojan.Multi.GenBadur.genw, расположение:системная память, после лечения с перезагрузкой появляется вновь.FRST.txt
      2024-11-26_20-05-35_log.txt
    • Ra11lex
      HEUR: Trojan. Multi.GenBadur.genw после лечения появляется опять.
      От Ra11lex
      Касперский плюс нашел вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. AVT его тоже находит, лечит, но после перезагрузки он опять тут. Пробовал в безопасном режиме, AVT его уже не находит. Windows 11, с последними обновлениями. Протокол прилагается. Также логи FRST. И результаты отчета uvs. 
      Это уже мой второй ноутбук. Видимо я переносил данные и вирус перенес. Прошлая ветка и решение: 
       
      ОтчетКасперский.txt Addition.txt FRST.txt ITAN_RA_2024-10-24_23-37-40_v4.99.2v x64.7z
    • lion6705
      [РЕШЕНО] Помогите с fixlist для FRST
      От lion6705
      Столкнулся с проблемой в виде замедления работы пк и замедление работы интернета так же иногда пк выключался в любой момент для решения проблемы решил использовать dr.web curelt появился файл с отметкой dialer.exe и надписью угроза NET:MALWARE.URL если бы он сразу удалился не начал искать способы убрать его в ручную но спустя 2 повторных проверки один и тот же исход а именно при устранение угрозы произошла ошибка
      Полез искать решение на ютубе и нашёл советовали использовать frst для того чтобы избавиться от любого вируса и вроде бы всё сделал но появилась новая проблема когда я попытался нажать исправить мне написалась что файла fixlist нету хотя я вроде бы (возможно не так) поэтому я пишу это сообщение чтобы узнать верно ли я всё сделал и те ли файлы пометил чтобы исправить их и избавиться от вируса 




      fixlist.txt.txt
      Addition_05-01-2025 20.19.18.txtFRST_05-01-2025 20.14.51.txt
       
       
      fixlist.txt.txt
    • Zakhar62668
      Помогите удалить вирус
      От Zakhar62668
      Виндоус дефендер находит постоянно трояны, но удалить не может, также пытался установить разные антивирусы, но все они не запускаются, вылетают ошибки, а также в исключениях есть файлы, которые не удаляются. Сейчас, посмотрев форум, запустил компьютер в безопасном режиме и через флешку установил фарбар рекавери скан тулс(чтоб запустить его пришлось удалить ограничения в редакторе реестра)
×
×
  • Создать...