Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирус изменил расширение файлов на .qetputd

goa.sar
 Поделиться

Рекомендуемые сообщения

goa.sar Новичок

goa.sar

Опубликовано
Опубликовано

По почте получил письмо, открыл после этого все файлы Майкрософт офис, .pdf и картинки формата .jpeg поменяли свое расширение на .qetputd

CollectionLog-2015.02.05-23.26.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Goar\AppData\Roaming\sweet-page\UninstallManager.exe','');
QuarantineFile('C:\Users\Goar\AppData\Local\Temp\suuwydg.exe','');
QuarantineFile('C:\Users\Goar\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Program Files (x86)\WinZipper\winzipersvc.exe','');
SetServiceStart('WindowsMangerProtect', 4);
DeleteService('WindowsMangerProtect');
SetServiceStart('IePluginServices', 4);
DeleteService('IePluginServices');
QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','');
DeleteService('iSafeKrnlMon');
SetServiceStart('{fef7f75c-f985-4250-96f9-8183cd04238b}Gw64', 4);
DeleteService('{fef7f75c-f985-4250-96f9-8183cd04238b}Gw64');
TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
TerminateProcessByName('c:\programdata\iepluginservices\pluginservice.exe');
QuarantineFile('c:\programdata\iepluginservices\pluginservice.exe','');
DeleteFile('c:\programdata\iepluginservices\pluginservice.exe','32');
DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys','32');
DeleteFile('C:\Users\Goar\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\UpdaterEX.job','64');
DeleteFile('C:\Users\Goar\AppData\Local\Temp\suuwydg.exe','32');
DeleteFile('C:\Windows\system32\Tasks\tyyywfj','64');
DeleteFile('C:\Windows\system32\Tasks\UpdaterEX','64');
DeleteFile('C:\Users\Goar\AppData\Roaming\sweet-page\UninstallManager.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{6D7CC9B5-BA15-45FB-B63C-CD9DD15B1D2A}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9); 
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
goa.sar Новичок

goa.sar

Опубликовано
  • Автор
Опубликовано

Отчет о работе ClearLNK

 

ClearLNK by Alex Dragokas                                 ver. 2.7.0.4

 
OS:       x64 Windows 7 Home Premium. Service Pack: 1
Language: Ukrainian (0x422). UI: Ukrainian (0x422)
Time:     06.02.2015 - 07:51
IsAdmin:  True
User:     Goar
_____________________________ Begin of Log ______________________________
 
[ OK ] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk"    -> [ "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" ]   (Метод R5-A2)   (ОК)
[ OK ] "C:\Users\Public\Desktop\Google Chrome.lnk"    -> [ "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" ]   (Метод R5-A2)   (ОК)
[ OK ] "C:\Users\Goar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk"    -> [ "C:\Program Files (x86)\Internet Explorer\iexplore.exe" ]   (Метод R5-A2)   (ОК)
[ OK ] "C:\Users\Goar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk"    -> [ "C:\Program Files (x86)\Internet Explorer\iexplore.exe" ]   (Метод R5-A2)   (ОК)
[ OK ] "C:\Users\Goar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk"    -> [ "C:\Program Files (x86)\Internet Explorer\iexplore.exe"  -extoff ]   (Метод R5-A2)   (ОК)
[ OK ] "C:\Users\Goar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk"    -> [ "C:\Program Files (x86)\Internet Explorer\iexplore.exe" ]   (Метод R5-A2)   (ОК)
[ OK ] "C:\Users\Goar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk"    -> [ "C:\Program Files (x86)\Internet Explorer\iexplore.exe" ]   (Метод R5-A2)   (ОК)
[DEL ] "C:\Users\Goar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5744bac5cd9032f3\Torch.lnk"    (цель не восстановлена)
 
______________________________ Статистика ______________________________
Всего обработано: 8
 
  Исправлено:     7
  Удалено:        1
  Переименовано:  0
  Пропущено:      0
  Блокировок:     0
  Предупреждений: 0
  Ошибок:         0
______________________________ End of Log ______________________________
Ссылка на комментарий
Поделиться на другие сайты
goa.sar Новичок

goa.sar

Опубликовано
  • Автор
Опубликовано

Добрый день, thyrex

Сори, туплю, где-то после 16:00 закину.

Просто как-то в 8 утра не сразу нашла кнопку "Прикрепить файлы"

 

П.С. не увидела что кнопка в Расширенной форме письма. не судите строго :)

Ссылка на комментарий
Поделиться на другие сайты
goa.sar Новичок

goa.sar

Опубликовано
  • Автор
Опубликовано

при  роботе програмы сздаются след. папки:

CheckBrowsersLNK

OldLog

RSIT

CollectionLog-2015.02.06-18.37.zip

report1.log

report2.log

там есть RSIT, я отправила в архив и прикрепила


Извините если что-то делаю не так, первый раз с этим столкнулась. 

Ужас как все сложно :oh:

RSIT.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Зачем присылать нам папку с программой, если она должна была запуститься при работе автосборщика. Как так случилось, что этого не произошло?

 

 

Сделайте логи RSIT (информацию по ссылке используйте, как инструкцию)

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

За Вас всю работу должен был сделать автосборщик. Вам оставалось только неукоснительно следовать инструкциям и сообщениям на экране. Ждем логи RSIT

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • rancol347
      [РЕШЕНО] Появляются рекламные вирусы по мнению КВРТ в файлах расширений для хрома и называются bg.js. Хром не использую
      Автор rancol347
      Иногда проверяю компьютер КВРТ и он выдал 2 рекламных вируса/расширения. После лечения с перезагрузкой всё вроде нормально, но если через 2-3 дня проверить снова появляется 1-2 расширения (not-a-virus:HEUR:AdWare.js.extredirect.gen и ещё какой-то, но по названию самый обычный адварь). И могу ли запустить автологгер вместе с защитником виндовс? (я не понял как выгрузить) и компьютер теоретически должен выдержать.
    • orbita06
      вирус зашифровал файлы
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • godstar
      updater.exe файл-вирус, также майнер
      Автор godstar
      После установки винды где то в начале года я поставил кмс авто для активации винды. Позже я начался пользоваться авторансом что бы убирать с автозапуска все ненужные мне программы. И я заметил во вкладке сервисах сервис гугла(я гуглом не пользуюсь, хромом тем более. онли майкрософт edge) фото я прикреплю. и дело в том что его отключаешь, а он обратно включается. я просто не замечал этого и каждый раз отключал его. Сейчас руки дошли и я все таки решил чекнуть что за файл. Он находится в ProgramData\Google\Chrome и там этот файл updater.exe. Я удалял файл, удалял эту папку, но через пару секунд она возвращалась. Закинул этот файл на вирустотал, а там 56 из 72 показатель. Я увидел там и надписи про майнеры, и трояны... Позже я нашел уже такое же обсуждение на эту же тему но она мне никак не помогла. Позже я полез в диспетчер задач и в монитор ресурсов и когда я удаляю папку то через пару секунд запускается powershell вместе с comhost. В общем и целом мне нужна ваша помощь удалить этот вирус. Все фотографии я прикрепил: 
    • Fantamax
      Шифровальщик - вымогатор поменял расширение файлов на i54m390g5b4
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • zsvnet
      файлы зашифрованы вирусом
      Автор zsvnet
      obrazec.zipAddition.txtShortcut.txtFRST.txtДобрый день! Зашифровали файлы.
      Скорее всего проникли через RDP. Исходный ПК неработоспособен. Диск подключен к другому ПК и на нем запускали FRST.
×
×
  • Создать...