Вирус изменил расширение файлов на .qetputd

5 февраля, 2015

По почте получил письмо, открыл после этого все файлы Майкрософт офис, .pdf и картинки формата .jpeg поменяли свое расширение на .qetputd

CollectionLog-2015.02.05-23.26.zip

5 февраля, 2015

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Goar\AppData\Roaming\sweet-page\UninstallManager.exe','');
QuarantineFile('C:\Users\Goar\AppData\Local\Temp\suuwydg.exe','');
QuarantineFile('C:\Users\Goar\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Program Files (x86)\WinZipper\winzipersvc.exe','');
SetServiceStart('WindowsMangerProtect', 4);
DeleteService('WindowsMangerProtect');
SetServiceStart('IePluginServices', 4);
DeleteService('IePluginServices');
QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','');
DeleteService('iSafeKrnlMon');
SetServiceStart('{fef7f75c-f985-4250-96f9-8183cd04238b}Gw64', 4);
DeleteService('{fef7f75c-f985-4250-96f9-8183cd04238b}Gw64');
TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
TerminateProcessByName('c:\programdata\iepluginservices\pluginservice.exe');
QuarantineFile('c:\programdata\iepluginservices\pluginservice.exe','');
DeleteFile('c:\programdata\iepluginservices\pluginservice.exe','32');
DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','32');
DeleteFile('C:\Users\Goar\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\UpdaterEX.job','64');
DeleteFile('C:\Users\Goar\AppData\Local\Temp\suuwydg.exe','32');
DeleteFile('C:\Windows\system32\Tasks\tyyywfj','64');
DeleteFile('C:\Windows\system32\Tasks\UpdaterEX','64');
DeleteFile('C:\Users\Goar\AppData\Roaming\sweet-page\UninstallManager.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{6D7CC9B5-BA15-45FB-B63C-CD9DD15B1D2A}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9); 
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Сделайте новые логи

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

6 февраля, 2015

Отчет о работе ClearLNK

ClearLNK by Alex Dragokas ver. 2.7.0.4

OS: x64 Windows 7 Home Premium. Service Pack: 1

Language: Ukrainian (0x422). UI: Ukrainian (0x422)

Time: 06.02.2015 - 07:51

IsAdmin: True

User: Goar

_____________________________ Begin of Log ______________________________

[ OK ] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk" -> [ "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" ] (Метод R5-A2) (ОК)

[ OK ] "C:\Users\Public\Desktop\Google Chrome.lnk" -> [ "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" ] (Метод R5-A2) (ОК)

[ OK ] "C:\Users\Goar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk" -> [ "C:\Program Files (x86)\Internet Explorer\iexplore.exe" ] (Метод R5-A2) (ОК)

[ OK ] "C:\Users\Goar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk" -> [ "C:\Program Files (x86)\Internet Explorer\iexplore.exe" ] (Метод R5-A2) (ОК)

[ OK ] "C:\Users\Goar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk" -> [ "C:\Program Files (x86)\Internet Explorer\iexplore.exe" -extoff ] (Метод R5-A2) (ОК)

[ OK ] "C:\Users\Goar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk" -> [ "C:\Program Files (x86)\Internet Explorer\iexplore.exe" ] (Метод R5-A2) (ОК)

[ OK ] "C:\Users\Goar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk" -> [ "C:\Program Files (x86)\Internet Explorer\iexplore.exe" ] (Метод R5-A2) (ОК)

[DEL ] "C:\Users\Goar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5744bac5cd9032f3\Torch.lnk" (цель не восстановлена)

______________________________ Статистика ______________________________

Всего обработано: 8

Исправлено: 7

Удалено: 1

Переименовано: 0

Пропущено: 0

Блокировок: 0

Предупреждений: 0

Ошибок: 0

______________________________ End of Log ______________________________

6 февраля, 2015

1. Я просил прикрепить отчет, а не лепить его в тему

2. Новые логи по правилам не вижу

6 февраля, 2015

Добрый день, thyrex

Сори, туплю, где-то после 16:00 закину.

Просто как-то в 8 утра не сразу нашла кнопку "Прикрепить файлы"

П.С. не увидела что кнопка в Расширенной форме письма. не судите строго

6 февраля, 2015

прикрепляю файлы

ClearLNK-06.02.2015_07-51.log

CollectionLog-2015.02.06-07.50.zip

6 февраля, 2015

Еще раз логи автосборщиком сделайте

6 февраля, 2015

логи

CollectionLog-2015.02.06-18.11.zip

6 февраля, 2015

Вы автосборщик качали по ссылке в правилах?

6 февраля, 2015

ДА, только что еще раз проверила

еще раз логи добавляю

CollectionLog-2015.02.06-18.37.zip

6 февраля, 2015

Почему тогда нет логов RSIT в этом архиве, не подскажете?

6 февраля, 2015

при роботе програмы сздаются след. папки:

CheckBrowsersLNK

OldLog

RSIT

CollectionLog-2015.02.06-18.37.zip

report1.log

report2.log

там есть RSIT, я отправила в архив и прикрепила

Извините если что-то делаю не так, первый раз с этим столкнулась.

Ужас как все сложно

RSIT.zip

6 февраля, 2015

Зачем присылать нам папку с программой, если она должна была запуститься при работе автосборщика. Как так случилось, что этого не произошло?

Сделайте логи RSIT (информацию по ссылке используйте, как инструкцию)

6 февраля, 2015

я поняла, я рандом не запускала так как подумала что это другая программа не связана с АВЗ

6 февраля, 2015

За Вас всю работу должен был сделать автосборщик. Вам оставалось только неукоснительно следовать инструкциям и сообщениям на экране. Ждем логи RSIT

Вирус изменил расширение файлов на .qetputd

Рекомендуемые сообщения

goa.sar

thyrex

goa.sar

thyrex

goa.sar

goa.sar

thyrex

goa.sar

thyrex

goa.sar

thyrex

goa.sar

thyrex

goa.sar

thyrex

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum