Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Вирус изменил расширение файлов на .qetputd

goa.sar
 Поделиться

Рекомендуемые сообщения

goa.sar Новичок

goa.sar

Опубликовано
Опубликовано

По почте получил письмо, открыл после этого все файлы Майкрософт офис, .pdf и картинки формата .jpeg поменяли свое расширение на .qetputd

CollectionLog-2015.02.05-23.26.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Goar\AppData\Roaming\sweet-page\UninstallManager.exe','');
QuarantineFile('C:\Users\Goar\AppData\Local\Temp\suuwydg.exe','');
QuarantineFile('C:\Users\Goar\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Program Files (x86)\WinZipper\winzipersvc.exe','');
SetServiceStart('WindowsMangerProtect', 4);
DeleteService('WindowsMangerProtect');
SetServiceStart('IePluginServices', 4);
DeleteService('IePluginServices');
QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','');
DeleteService('iSafeKrnlMon');
SetServiceStart('{fef7f75c-f985-4250-96f9-8183cd04238b}Gw64', 4);
DeleteService('{fef7f75c-f985-4250-96f9-8183cd04238b}Gw64');
TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
TerminateProcessByName('c:\programdata\iepluginservices\pluginservice.exe');
QuarantineFile('c:\programdata\iepluginservices\pluginservice.exe','');
DeleteFile('c:\programdata\iepluginservices\pluginservice.exe','32');
DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','32');
DeleteFile('C:\Users\Goar\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\UpdaterEX.job','64');
DeleteFile('C:\Users\Goar\AppData\Local\Temp\suuwydg.exe','32');
DeleteFile('C:\Windows\system32\Tasks\tyyywfj','64');
DeleteFile('C:\Windows\system32\Tasks\UpdaterEX','64');
DeleteFile('C:\Users\Goar\AppData\Roaming\sweet-page\UninstallManager.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{6D7CC9B5-BA15-45FB-B63C-CD9DD15B1D2A}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9); 
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
goa.sar Новичок

goa.sar

Опубликовано
  • Автор
Опубликовано

Отчет о работе ClearLNK

 

ClearLNK by Alex Dragokas                                 ver. 2.7.0.4

 
OS:       x64 Windows 7 Home Premium. Service Pack: 1
Language: Ukrainian (0x422). UI: Ukrainian (0x422)
Time:     06.02.2015 - 07:51
IsAdmin:  True
User:     Goar
_____________________________ Begin of Log ______________________________
 
[ OK ] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk"    -> [ "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" ]   (Метод R5-A2)   (ОК)
[ OK ] "C:\Users\Public\Desktop\Google Chrome.lnk"    -> [ "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" ]   (Метод R5-A2)   (ОК)
[ OK ] "C:\Users\Goar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk"    -> [ "C:\Program Files (x86)\Internet Explorer\iexplore.exe" ]   (Метод R5-A2)   (ОК)
[ OK ] "C:\Users\Goar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk"    -> [ "C:\Program Files (x86)\Internet Explorer\iexplore.exe" ]   (Метод R5-A2)   (ОК)
[ OK ] "C:\Users\Goar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk"    -> [ "C:\Program Files (x86)\Internet Explorer\iexplore.exe"  -extoff ]   (Метод R5-A2)   (ОК)
[ OK ] "C:\Users\Goar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk"    -> [ "C:\Program Files (x86)\Internet Explorer\iexplore.exe" ]   (Метод R5-A2)   (ОК)
[ OK ] "C:\Users\Goar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk"    -> [ "C:\Program Files (x86)\Internet Explorer\iexplore.exe" ]   (Метод R5-A2)   (ОК)
[DEL ] "C:\Users\Goar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5744bac5cd9032f3\Torch.lnk"    (цель не восстановлена)
 
______________________________ Статистика ______________________________
Всего обработано: 8
 
  Исправлено:     7
  Удалено:        1
  Переименовано:  0
  Пропущено:      0
  Блокировок:     0
  Предупреждений: 0
  Ошибок:         0
______________________________ End of Log ______________________________
Ссылка на комментарий
Поделиться на другие сайты
goa.sar Новичок

goa.sar

Опубликовано
  • Автор
Опубликовано

Добрый день, thyrex

Сори, туплю, где-то после 16:00 закину.

Просто как-то в 8 утра не сразу нашла кнопку "Прикрепить файлы"

 

П.С. не увидела что кнопка в Расширенной форме письма. не судите строго :)

Ссылка на комментарий
Поделиться на другие сайты
goa.sar Новичок

goa.sar

Опубликовано
  • Автор
Опубликовано

при  роботе програмы сздаются след. папки:

CheckBrowsersLNK

OldLog

RSIT

CollectionLog-2015.02.06-18.37.zip

report1.log

report2.log

там есть RSIT, я отправила в архив и прикрепила


Извините если что-то делаю не так, первый раз с этим столкнулась. 

Ужас как все сложно :oh:

RSIT.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Зачем присылать нам папку с программой, если она должна была запуститься при работе автосборщика. Как так случилось, что этого не произошло?

 

 

Сделайте логи RSIT (информацию по ссылке используйте, как инструкцию)

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

За Вас всю работу должен был сделать автосборщик. Вам оставалось только неукоснительно следовать инструкциям и сообщениям на экране. Ждем логи RSIT

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Артём Мельник
      not-a-virus:HEUR:AdWare.JS.ExtRedirect.gen чсто выскакивает этот вирус
      Автор Артём Мельник
      not-a-virus:HEUR:AdWare.JS.ExtRedirect.gen чсто выскакивает этот вирус
    • Freeman80S
      Поймал вирус-шифровальщик, переименовал все расширения файлов на *.Sauron
      Автор Freeman80S
      Пока катался по городу, сотрудница умудрилась поймать вирус, после этого слились данные "подключение к удаленному рабочему столу", я так понял далее тело из-за бугра залезо на сервер и переименовал все расширения файлов на окончание *.Sauron.
      Запустил все известные анти-вирусы, как итог ничего не находят. В файле требований два адреса: почта adm.helproot@gmail.com, телеграмм канал @adm_helproot, и предложение обменять деньги на биткоины и связаться с этими телами! Во вложении оценка системы и зашифрованные файлы. Буду благодарен! (пароль от архива virus)
      FRST.txt шифр файлы и требование.rar
    • Saul
      Шифровальщик. Расширение aiLuw2ie
      Автор Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
    • Юрий Ч
      Шифровальщик с расширением .pussylikeashavel-VDwOdhMlTSSzwonBISwPaN-iUT48ohlKrYg8yifZcRQ
      Автор Юрий Ч
      1
    • 4ikotillo
      Зашифрованы файлы на сетевом диске, расширение 4utjb34h
      Автор 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
×
×
  • Создать...