Вирус изменил расширение файлов на .qetputd

[goa.sar]

По почте получил письмо, открыл после этого все файлы Майкрософт офис, .pdf и картинки формата .jpeg поменяли свое расширение на .qetputd

CollectionLog-2015.02.05-23.26.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Goar\AppData\Roaming\sweet-page\UninstallManager.exe','');
QuarantineFile('C:\Users\Goar\AppData\Local\Temp\suuwydg.exe','');
QuarantineFile('C:\Users\Goar\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Program Files (x86)\WinZipper\winzipersvc.exe','');
SetServiceStart('WindowsMangerProtect', 4);
DeleteService('WindowsMangerProtect');
SetServiceStart('IePluginServices', 4);
DeleteService('IePluginServices');
QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','');
DeleteService('iSafeKrnlMon');
SetServiceStart('{fef7f75c-f985-4250-96f9-8183cd04238b}Gw64', 4);
DeleteService('{fef7f75c-f985-4250-96f9-8183cd04238b}Gw64');
TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
TerminateProcessByName('c:\programdata\iepluginservices\pluginservice.exe');
QuarantineFile('c:\programdata\iepluginservices\pluginservice.exe','');
DeleteFile('c:\programdata\iepluginservices\pluginservice.exe','32');
DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','32');
DeleteFile('C:\Users\Goar\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\UpdaterEX.job','64');
DeleteFile('C:\Users\Goar\AppData\Local\Temp\suuwydg.exe','32');
DeleteFile('C:\Windows\system32\Tasks\tyyywfj','64');
DeleteFile('C:\Windows\system32\Tasks\UpdaterEX','64');
DeleteFile('C:\Users\Goar\AppData\Roaming\sweet-page\UninstallManager.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{6D7CC9B5-BA15-45FB-B63C-CD9DD15B1D2A}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9); 
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  
• Распакуйте архив с утилитой в отдельную папку.
  
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  
• Прикрепите этот отчет к своему следующему сообщению.
  

[goa.sar]

Отчет о работе ClearLNK

 

ClearLNK by Alex Dragokas                                 ver. 2.7.0.4

 

OS:       x64 Windows 7 Home Premium. Service Pack: 1

Language: Ukrainian (0x422). UI: Ukrainian (0x422)

Time:     06.02.2015 - 07:51

IsAdmin:  True

User:     Goar

_____________________________ Begin of Log ______________________________

 

[ OK ] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk"    -> [ "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" ]   (Метод R5-A2)   (ОК)

[ OK ] "C:\Users\Public\Desktop\Google Chrome.lnk"    -> [ "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" ]   (Метод R5-A2)   (ОК)

[ OK ] "C:\Users\Goar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk"    -> [ "C:\Program Files (x86)\Internet Explorer\iexplore.exe" ]   (Метод R5-A2)   (ОК)

[ OK ] "C:\Users\Goar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk"    -> [ "C:\Program Files (x86)\Internet Explorer\iexplore.exe" ]   (Метод R5-A2)   (ОК)

[ OK ] "C:\Users\Goar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk"    -> [ "C:\Program Files (x86)\Internet Explorer\iexplore.exe"  -extoff ]   (Метод R5-A2)   (ОК)

[ OK ] "C:\Users\Goar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk"    -> [ "C:\Program Files (x86)\Internet Explorer\iexplore.exe" ]   (Метод R5-A2)   (ОК)

[ OK ] "C:\Users\Goar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk"    -> [ "C:\Program Files (x86)\Internet Explorer\iexplore.exe" ]   (Метод R5-A2)   (ОК)

[DEL ] "C:\Users\Goar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5744bac5cd9032f3\Torch.lnk"    (цель не восстановлена)

 

______________________________ Статистика ______________________________

Всего обработано: 8

 

  Исправлено:     7

  Удалено:        1

  Переименовано:  0

  Пропущено:      0

  Блокировок:     0

  Предупреждений: 0

  Ошибок:         0

______________________________ End of Log ______________________________

[thyrex]

1. Я просил прикрепить отчет, а не лепить его в тему

2. Новые логи по правилам не вижу

[goa.sar]

Добрый день, thyrex

Сори, туплю, где-то после 16:00 закину.

Просто как-то в 8 утра не сразу нашла кнопку "Прикрепить файлы"

 

П.С. не увидела что кнопка в Расширенной форме письма. не судите строго

[goa.sar]

прикрепляю файлы

ClearLNK-06.02.2015_07-51.log

CollectionLog-2015.02.06-07.50.zip

[thyrex]

Еще раз логи автосборщиком сделайте

[goa.sar]

логи

CollectionLog-2015.02.06-18.11.zip

[thyrex]

Вы автосборщик качали по ссылке в правилах?

[goa.sar]

ДА, только что еще раз проверила

 

еще раз логи добавляю

 

CollectionLog-2015.02.06-18.37.zip

[thyrex]

Почему тогда нет логов RSIT в этом архиве, не подскажете?

[goa.sar]

при  роботе програмы сздаются след. папки:

CheckBrowsersLNK

OldLog

RSIT

CollectionLog-2015.02.06-18.37.zip

report1.log

report2.log

там есть RSIT, я отправила в архив и прикрепила

Извините если что-то делаю не так, первый раз с этим столкнулась. 

Ужас как все сложно

RSIT.zip

[thyrex]

Зачем присылать нам папку с программой, если она должна была запуститься при работе автосборщика. Как так случилось, что этого не произошло?

 

 

Сделайте логи RSIT (информацию по ссылке используйте, как инструкцию)

[goa.sar]

я поняла, я рандом не запускала так как подумала что это другая программа не связана с АВЗ 

[thyrex]

За Вас всю работу должен был сделать автосборщик. Вам оставалось только неукоснительно следовать инструкциям и сообщениям на экране. Ждем логи RSIT