Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Rar архив

Иван11

Автор Иван11
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Иван11 Новичок

Иван11

Опубликовано
Опубликовано

Добрый день. Перестал открываться архив rar. При открытии была ошибка, что архив поврежден, либо имеет неизвестный формат. Открыл архив с помощью блокнота и увидел в куче символов вот такой отрезок (ниже). Подскажите пожалуйста, что это такое? 

Спойлер

l o g g i n g   s e t   t o   % d   s e t t i n g s   l o g g i n g   t o   % d     c r e a t e d   u n i n s t a l l e r :   % d ,   " % s "   W r i t e R e g :   e r r o r   c r e a t i n g   k e y   " % s \ % s "         W r i t e R e g :   e r r o r   w r i t i n g   i n t o   " % s \ % s "   " % s "   W r i t e R e g B i n :   " % s \ % s "   " % s " = " % s "         W r i t e R e g D W O R D :   " % s \ % s "   " % s " = " 0 x % 0 8 x "         W r i t e R e g E x p a n d S t r :   " % s \ % s "   " % s " = " % s "     W r i t e R e g S t r :   " % s \ % s "   " % s " = " % s "     D e l e t e R e g K e y :   " % s \ % s "   D e l e t e R e g V a l u e :   " % s \ % s "   " % s "     ! N ~       W r i t e I N I S t r :   w r o t e   [ % s ]   % s = % s   i n   % s   < R M >     C o p y F i l e s   " % s " - > " % s "     C r e a t e S h o r t C u t :   o u t :   " % s " ,   i n :   " % s   % s " ,   i c o n :   % s , % d ,   s w = % d ,   h k = % d       E r r o r   r e g i s t e r i n g   D L L :   C o u l d   n o t   i n i t i a l i z e   O L E   E r r o r   r e g i s t e r i n g   D L L :   C o u l d   n o t   l o a d   % s         E r r o r   r e g i s t e r i n g   D L L :   % s   n o t   f o u n d   i n   % s   G e t T T F F o n t N a m e ( % s )   r e t u r n e d   % s         G e t T T F V e r s i o n S t r i n g ( % s )   r e t u r n e d   % s   \       E x e c :   f a i l e d   c r e a t e p r o c e s s   ( " % s " )   E x e c :   s u c c e s s   ( " % s " )     E x e c :   c o m m a n d = " % s "     E x e c S h e l l :   s u c c e s s   ( " % s " :   f i l e : " % s "   p a r a m s : " % s " )         E x e c S h e l l :   w a r n i n g :   e r r o r   ( " % s " :   f i l e : " % s "   p a r a m s : " % s " ) = % d     H i d e W i n d o w     P o p :   s t a c k   e m p t y     E x c h :   s t a c k   <   % d   e l e m e n t s   R M D i r :   " % s "   M e s s a g e B o x :   % d , " % s "   D e l e t e :   " % s "     % s     F i l e :   w r o t e   % d   t o   " % s "     F i l e :   e r r o r ,   u s e r   c a n c e l     F i l e :   s k i p p e d :   " % s "   ( o v e r w r i t e f l a g = % d )     F i l e :   e r r o r ,   u s e r   a b o r t   F i l e :   e r r o r ,   u s e r   r e t r y   F i l e :   e r r o r   c r e a t i n g   " % s "       F i l e :   o v e r w r i t e f l a g = % d ,   a l l o w s k i p f i l e s f l a g = % d ,   n a m e = " % s "     R e n a m e   f a i l e d :   % s   R e n a m e   o n   r e b o o t :   % s     R e n a m e :   % s         I f F i l e E x i s t s :   f i l e   " % s "   d o e s   n o t   e x i s t ,   j u m p i n g   % d     I f F i l e E x i s t s :   f i l e   " % s "   e x i s t s ,   j u m p i n g   % d     C r e a t e D i r e c t o r y :   " % s "   c r e a t e d       C r e a t e D i r e c t o r y :   c a n ' t   c r e a t e   " % s "   -   a   f i l e   a l r e a d y   e x i s t s     C r e a t e D i r e c t o r y :   c a n ' t   c r e a t e   " % s "   ( e r r = % d )   C r e a t e D i r e c t o r y :   " % s "   ( % d )     S e t F i l e A t t r i b u t e s   f a i l e d .   S e t F i l e A t t r i b u t e s :   " % s " : % 0 8 X     B r i n g T o F r o n t     S l e e p ( % d )   d e t a i l p r i n t :   % s   C a l l :   % d     A b o r t i n g :   " % s "     J u m p :   % d     v e r i f y i n g   i n s t a l l e r :   % d % %   u n p a c k i n g   d a t a :   % d % %     . . .   % d % %         I n s t a l l e r   i n t e g r i t y   c h e c k   h a s   f a i l e d .   C o m m o n   c a u s e s   i n c l u d e 
 i n c o m p l e t e   d o w n l o a d   a n d   d a m a g e d   m e d i a .   C o n t a c t   t h e 
 i n s t a l l e r ' s   a u t h o r   t o   o b t a i n   a   n e w   c o p y . 
 
 M o r e   i n f o r m a t i o n   a t : 
 h t t p : / / n s i s . s f . n e t / N S I S _ E r r o r   E r r o r   w r i t i n g   t e m p o r a r y   f i l e .   M a k e   s u r e   y o u r   t e m p   f o l d e r   i s   v a l i d .     E r r o r   l a u n c h i n g   i n s t a l l e r   S e S h u t d o w n P r i v i l e g e   A   ~ n s u . t m p       _ ? =     \ T e m p     / D =     N C R C     N S I S   E r r o r         i n s t a l l . l o g   o p e n     % u . % u % s % s   S k i p p i n g   s e c t i o n :   " % s "     S e c t i o n :   " % s "   N e w   i n s t a l l   o f   " % s "   t o   " % s "   R i c h E d i t     R i c h E d i t 2 0 A   R i c h E d 3 2     R i c h E d 2 0     _ N b   . e x e         . D E F A U L T \ C o n t r o l   P a n e l \ I n t e r n a t i o n a l         C o n t r o l   P a n e l \ D e s k t o p \ R e s o u r c e L o c a l e     SHGetFolderPathW    SHFOLDER    SHAutoComplete  SHLWAPI GetUserDefaultUILanguage    AdjustTokenPrivileges   LookupPrivilegeValueW   OpenProcessToken    RegDeleteKeyExW ADVAPI32    MoveFileExW GetDiskFreeSpaceExW KERNEL32        [Rename]
  % d         S o f t w a r e \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n       \ M i c r o s o f t \ I n t e r n e t   E x p l o r e r \ Q u i c k   L a u n c h   n s a   * ? | < > / " :      
     i n v a l i d   r e g i s t r y   k e y     H K E Y _ D Y N _ D A T A   H K E Y _ C U R R E N T _ C O N F I G   H K E Y _ P E R F O R M A N C E _ D A T A   H K E Y _ U S E R S     H K E Y _ L O C A L _ M A C H I N E     H K E Y _ C U R R E N T _ U S E R   H K E Y _ C L A S S E S _ R O O T   . . .   % 0 2 x % c     Module32NextW   Module32FirstW  Process32NextW  Process32FirstW CreateToolhelp32Snapshot    Kernel32.DLL    U n k n o w n   GetModuleBaseNameW  EnumProcessModules  EnumProcesses   PSAPI.DLL   
[  %s=%s
 N U L   R M D i r :   R e m o v e D i r e c t o r y   f a i l e d ( " % s " )   R M D i r :   R e m o v e D i r e c t o r y   o n   R e b o o t ( " % s " )     R M D i r :   R e m o v e D i r e c t o r y ( " % s " )         R M D i r :   R e m o v e D i r e c t o r y   i n v a l i d   i n p u t ( " % s " )     D e l e t e :   D e l e t e F i l e   f a i l e d ( " % s " )   D e l e t e :   D e l e t e F i l e   o n   R e b o o t ( " % s " )     D e l e t e :   D e l e t e F i l e ( " % s " )     \ * . *     name    % s :   f a i l e d   o p e n i n g   f i l e   " % s " 
   G e t T T F N a m e S t r i n g     V e r s i o n

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
1 час назад, Иван11 сказал:

А это не вредоносный код? Он сильно выделяется среди кракозябр rar

Не похоже это на вредоносный код.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Защищаемся от атак в архивах ZIP, RAR, CAB, MSI, ISO и других | Блог Касперского
      Автор KL FC Bot
      Программы-архиваторы, упрощающие хранение и пересылку файлов, стали привычным инструментом не только для пользователей, но и для злоумышленников. Вредоносные архивы систематически находят как в целевых атаках, так и в инцидентах с шифровальщиками-вымогателями. Злоумышленники в основном применяют их для обхода средств защиты информации, обмана пользователей и, конечно, для извлечения украденных данных. А значит, ИБ- и ИТ- отделам следует уделять особое внимание тому, как архивы обрабатываются в ОС, бизнес-приложениях и защитных инструментах. Рассказываем, для чего злоумышленники могут использовать архивы.
      Доставка вредоносного ПО с обходом предупреждений Mark-of-the-Web
      Благодаря логическим особенностям и уязвимостям конкретных архиваторов, при распаковке под Windows у извлеченного файла иногда не устанавливаются атрибуты «загружен из Интернета» (Mark-of-the-Web, MOTW). Технически эти атрибуты сохраняются в альтернативном потоке данных (NTFS alternative data stream) Zone.Identifier. Если идентификатор указывает на внешний источник файла (ZoneID = 3, 4), то при попытке запуска исполняемого файла появляется предупреждение Windows, а Office автоматически открывает потенциально небезопасный документ в защищенном режиме.
      Эксплуатируя дефекты архиваторов, атакующие обходят этот слой защиты. Самой свежей уязвимостью, приводящей к инцидентам такого рода, стала CVE-2025-31334 в WinRAR, но этот случай не единичный: известны CVE-2025-0411 в 7-Zip, CVE-2024-8811 в WinZip и другие. Важно учитывать, что некоторые архиваторы вообще не поддерживают MOTW, устанавливают ее только для некоторых расширений файла либо только при определенных способах распаковки. Сводная таблица по поддержке MOTW архиваторами доступна на GitHub.
       
      View the full article
    • Alex Mor
      БД 1С и часть других файлов перемещены в RAR архив с паролем
      Автор Alex Mor
      Добрый день, Коллеги, столкнулся проблемой произошла утечка реквизитов одной из УЗ администраторов на win сервере, после чего злоумышленники подключились по RDP и переместили файлы БД 1С в запароленный RAR архив, в письме у злоумышленников указаны требования выкупа пароля и контакт:  kelianydo@gmail.com, если сталкивались, прошу помочь.
      пароль к архиву - копия (107) — копия — копия — копия — копия.txt
      CHANGES.txt NOTICE.txt
    • a.n.d.r.e.w
      Получил подарочек на Новый Год. Зараза зашифровала рабочий архив (((((((
      Автор a.n.d.r.e.w
      Привет, друзья. У меня небольшая организация, 5 рабочих мест, сисадмина нет. Есть виртуальный MS Server 2019 на VMWare работающий на одной из машин. Сервер используется как файловое хранилище и еще на нем sql работает для 1С. В конце декабря обновлял лицензию антивируса, оплатил Premium, который пытался установить и на сервер тоже, конечно не вышло. Думаю когда я искал браузер для установки антивируса тогда и налетел, потому что существующий IE не поддерживался. Последний раз работал 30.12.24, всё было норм. Когда решил заскочить проверить после НГ 01.01.25 обнаружил проблему. С машиной на которой стояла VMW всё хорошо, а в виртуальной системе все плохо. Я конечно все остановил сразу, но уже поздно было. Есть бэкап от октября, поэтому есть оригинальные файлы для анализа. Бесплатные утилиты пробовал, не получилось ничего, хотя может из-за кривых рук. Виртуальные диски скопировал. Монтировал напрямую, проверял антивирусом. Экспериментировал на копиях.
      Друзья, прошу помощи. Готов заплатить за работу!
       
      P.S. Во вложении несколько архивов
      xls, jpeg -в каждом два файла оригинал + шифрованный 
      pic - скриншоты
      htr - требования
      RFST - отчет Farbar Recovery Scan Tool 
      (местонахождение вируса выяснить не смог)
       
       
      htr.rar jpeg.rar pic.rar RFST.rar xls.rar
    • Михаил Н
      Вымогатели заархивировали в WinRAR данные папок и запаролили архив
      Автор Михаил Н
      Добрый день! Нас атаковали злоумышленники. Заархивировали все наши рабочие папки с помощью WinRar. На диске С успели удалить неархивные папки. На диске E и съемном жестком диске G заархивировав и запаролив, всю информацию удалить не успели, т.к. мы заметили их присутствие и выключили компьютер. С помощью программы Recuva удалось вычислить, что они подключились под учеткой User-2 19.07.2024 г в 17:38, создали учетку Update, под которой зашли в 17:46. Мы их обнаружили в 20:55 19.07.2024 и выключили компьютер. Т.к. они не успели доделать свое гиблое дело, то никакого письма на компьютере у нас не оказалось. Но тем не менее, папки заархивированы и пароль неизвестен. С системой на диске С ничего не делали. Запустили программу PassFab for RAR, но этот процесс бесконечен. Также пытались восстановить файлы с помощью Recuva и ShadowExplorer. Файлы восстанавливают, однако они не открываются, т.к. оказываются поврежденными.
       
      Заранее благодарим за советы или возможную помощь.
       
      Addition.txt FRST.txt Recuva_deleted_files_от новых к старым_с19.07.2024_17.38.txt
    • kushnarenkoa
      Зашифровали файлы в le0 и файлы с базами данных на Postgre SQL положили в архив с паролем
      Автор kushnarenkoa
      Добрый день! Зашифровали файлы в формат le0 и файлы с базами данных на Postgre SQL положили в архив с паролем. Как можно восстановить данные? И что нужно скинуть для понимания?
×
×
  • Создать...