Помогите с лечением ishtar

[Дмитрий9409075]

Открыл письмо с  файлом ексель, после чего произошло заражение компьютера. Все файлы переименованы с добавлением  слова "ISHTAR-"имя файла"".

На рабочем столе README-ISHTAR с содержимым:

# ----------------------------------------------------------------------------------------------------------------------------

# ДЛЯ РАСШИФРОВКИ ФАЙЛОВ ОБРАТИТЕСЬ НА ПОЧТУ support4you@protonmail.com

# ЛИБО НА 

# BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV ИСПОЛЬЗУЯ BITMESSAGE DESKTOP ИЛИ https://bitmsg.me/

# ----------------------------------------------------------------------------------------------------------------------------

# 

# БАЗОВЫЕ ТЕХНИЧЕСКИЕ ДЕТАЛИ:

# > Стандартный порядок шифрования: AES 256 + RSA 2048. 

# > Для каждого файла создается уникальный AES ключ.

# > Расшифровка невозможна без файла ISHTAR.DATA (см. директорию %APPDATA%).

#

# ----------------------------------------------------------------------------------------------------------------------------

 

 

# ----------------------------------------------------------------------------------------------------------------------------

# TO DECRYPT YOUR FILES PLEASE WRITE TO support4you@protonmail.com

# OR TO 

# BM-NB29yqgNJsWrWJT5fQR1JC5uoz2EoAGV USING BITMESSAGE DESKTOP OR https://bitmsg.me/

# ----------------------------------------------------------------------------------------------------------------------------

#

# BASIC TECHNICAL DETAILS:

# > Standart encryption routine: AES 256 + RSA 2048.

# > Every AES key is unique per file.

# > Decryption is impossible without ISHTAR.DATA file (see %APPDATA% path).

#

# ----------------------------------------------------------------------------------------------------------------------------

Скачал ваш логер, файл отчета в приложении.

CollectionLog-2017.06.14-15.50.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Test\AppData\Roaming\sc0.au3','');
 QuarantineFile('C:\Users\Test\AppData\Roaming\au0.exe','');
 DeleteFile('C:\Users\Test\AppData\Roaming\au0.exe','32');
 DeleteFile('C:\Users\Test\AppData\Roaming\sc0.au3','32');
 DeleteFile('C:\WINDOWS\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-1-6.job','32');
 DeleteFile('C:\WINDOWS\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-1-7.job','32');
 DeleteFile('C:\WINDOWS\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-10_user.job','32');
 DeleteFile('C:\WINDOWS\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-5.job','32');
 DeleteFile('C:\WINDOWS\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-5_user.job','32');
 DeleteFile('C:\WINDOWS\Tasks\AmiUpdXp.job','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-1-6','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-1-7','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-5_user','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-7','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-11','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-10_user','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\0bd447ad-5361-46fb-a09f-d30b0878b98c-5','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\AmiUpdXp','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5_user','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[Дмитрий9409075]

KLAN-6405109202

CollectionLog-2017.06.14-16.49.zip

[thyrex]

Не нужно цитировать полностью ответ хэлпера.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Дмитрий9409075]

выполнено

отчеты.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM-x32\...\Run: [mbot_ru_014010123] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010123] => [X]
HKLM-x32\...\Run: [gmsd_ru_005010144] => [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=ds&ts=1445717136&z=2d9d5344570dec30198e90cg6zezdwbmagdm8gccfq&from=amt&uid=hgstxhts545050a7e380_te95134ng0az3pg0az3px&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1445717136&z=2d9d5344570dec30198e90cg6zezdwbmagdm8gccfq&from=amt&uid=hgstxhts545050a7e380_te95134ng0az3pg0az3px
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1445717136&z=2d9d5344570dec30198e90cg6zezdwbmagdm8gccfq&from=amt&uid=hgstxhts545050a7e380_te95134ng0az3pg0az3px&q={searchTerms}
HKU\S-1-5-21-622489851-2625101665-3915205906-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1445717136&z=2d9d5344570dec30198e90cg6zezdwbmagdm8gccfq&from=amt&uid=hgstxhts545050a7e380_te95134ng0az3pg0az3px
SearchScopes: HKU\S-1-5-21-622489851-2625101665-3915205906-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1445717136&z=2d9d5344570dec30198e90cg6zezdwbmagdm8gccfq&from=amt&uid=hgstxhts545050a7e380_te95134ng0az3pg0az3px&q={searchTerms}
Toolbar: HKU\S-1-5-21-622489851-2625101665-3915205906-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://www.istartpageing.com/newtab/?type=nt&ts=1449162990&z=b48f64910415ac6731a5198g9z9zctfg2q5oat6b9t&from=cmi&uid=HGSTXHTS545050A7E380_TE95134NG0AZ3PG0AZ3PX
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [mkfokfffehpeedafpekjeddnmnjhmcmk] - C:\Program Files (x86)\Norton Internet Security\Engine\21.7.0.11\Exts\Chrome.crx <not found>
OPR Extension: (CiPlus-4.5vV24.10) - C:\Users\Test\AppData\Roaming\Opera Software\Opera Stable\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-10-25]
StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.mystartsearch.com/?type=sc&ts=1445720006&z=2fbea08936a82fa7a251af9g7z5z2wbm3g0tdm5wdt&from=cmi&uid=HGSTXHTS545050A7E380_TE95134NG0AZ3PG0AZ3PX
Task: {BA45E38F-BDEE-4FD9-9E08-55AD2CA5DDF2} - \CCleanerSkipUAC -> No File <==== ATTENTION
Task: {BEC76EA3-1871-403B-BBF5-5EFDBE6F021E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {BF53D05E-FA6F-4489-A5C7-7AA96820F6D0} - \WPD\SqmUpload_S-1-5-21-622489851-2625101665-3915205906-1001 -> No File <==== ATTENTION
Task: {D4B81463-1C6B-4CF8-BF66-7110FE064077} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {EB27156B-2191-418B-AEB4-EAC39FB6CFA9} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {ED45F665-1D42-4F9E-8C24-58A94DE2379B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {F5DB4856-EA44-4A85-B957-E3D976D36A60} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: C:\WINDOWS\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-6.job => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-6.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-7.job => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-7.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-10_user.job => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-10.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-11.job => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-11.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5.job => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5_user.job => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5.exe <==== ATTENTION
Task: {490E002E-C41B-4C7F-8E2E-C217BAAF549B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {7853C58B-A71D-4BAE-9DA7-C6ABB9146D2A} - \a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-7 -> No File <==== ATTENTION
Task: {7B7799BE-DBD5-488F-ACA2-DBFF0785E69A} - \a4d0648d-2a27-4ab3-8090-0fe650ed0c02-11 -> No File <==== ATTENTION
Task: {7E4BBF5E-4D34-4C99-A4DF-A706945AA6C7} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {90AE18E6-F965-4BBE-9BB1-1F9C9A931466} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {9BC371A8-6645-4F9B-B907-E946EE519A0B} - System32\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-10_user => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-10.exe <==== ATTENTION
Task: {9CD62B74-CFE7-4A81-B77F-1D03B16BF353} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {9EA68379-0572-40F0-86EC-5A510762657C} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {0E1303AE-5598-4980-BB88-39C752FE543F} - \a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5_user -> No File <==== ATTENTION
Task: {23E44BA0-83DF-4A90-B7AD-998FF60DE423} - System32\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5 => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-5.exe <==== ATTENTION
Task: {2BD998BC-5D1A-4D12-9A8E-77D6083E23F3} - System32\Tasks\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-6 => C:\Program Files (x86)\CiPlus-4.5vV24.10\a4d0648d-2a27-4ab3-8090-0fe650ed0c02-1-6.exe <==== ATTENTION
Task: {33AB03F6-FCDF-410D-B0AC-F6782244AF88} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
HKLM\...\StartupApproved\Run32: => "gmsd_ru_005010123"
HKLM\...\StartupApproved\Run32: => "mbot_ru_014010123"
HKLM\...\StartupApproved\Run32: => "gmsd_re_005010157"
HKLM\...\StartupApproved\Run32: => "gmsd_ru_005010144"
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Дмитрий9409075]

готово

Может быть вам нужен файл DATA, без которого, по утверждению злодеев раскодироваться невозможно?

Fixlog.txt

[thyrex]

Мусор почистили.

 

С расшифровкой помочь не сможем