Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Rar архив

Иван11

Автор Иван11
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Иван11 Новичок

Иван11

Опубликовано
Опубликовано

Добрый день. Перестал открываться архив rar. При открытии была ошибка, что архив поврежден, либо имеет неизвестный формат. Открыл архив с помощью блокнота и увидел в куче символов вот такой отрезок (ниже). Подскажите пожалуйста, что это такое? 

Спойлер

l o g g i n g   s e t   t o   % d   s e t t i n g s   l o g g i n g   t o   % d     c r e a t e d   u n i n s t a l l e r :   % d ,   " % s "   W r i t e R e g :   e r r o r   c r e a t i n g   k e y   " % s \ % s "         W r i t e R e g :   e r r o r   w r i t i n g   i n t o   " % s \ % s "   " % s "   W r i t e R e g B i n :   " % s \ % s "   " % s " = " % s "         W r i t e R e g D W O R D :   " % s \ % s "   " % s " = " 0 x % 0 8 x "         W r i t e R e g E x p a n d S t r :   " % s \ % s "   " % s " = " % s "     W r i t e R e g S t r :   " % s \ % s "   " % s " = " % s "     D e l e t e R e g K e y :   " % s \ % s "   D e l e t e R e g V a l u e :   " % s \ % s "   " % s "     ! N ~       W r i t e I N I S t r :   w r o t e   [ % s ]   % s = % s   i n   % s   < R M >     C o p y F i l e s   " % s " - > " % s "     C r e a t e S h o r t C u t :   o u t :   " % s " ,   i n :   " % s   % s " ,   i c o n :   % s , % d ,   s w = % d ,   h k = % d       E r r o r   r e g i s t e r i n g   D L L :   C o u l d   n o t   i n i t i a l i z e   O L E   E r r o r   r e g i s t e r i n g   D L L :   C o u l d   n o t   l o a d   % s         E r r o r   r e g i s t e r i n g   D L L :   % s   n o t   f o u n d   i n   % s   G e t T T F F o n t N a m e ( % s )   r e t u r n e d   % s         G e t T T F V e r s i o n S t r i n g ( % s )   r e t u r n e d   % s   \       E x e c :   f a i l e d   c r e a t e p r o c e s s   ( " % s " )   E x e c :   s u c c e s s   ( " % s " )     E x e c :   c o m m a n d = " % s "     E x e c S h e l l :   s u c c e s s   ( " % s " :   f i l e : " % s "   p a r a m s : " % s " )         E x e c S h e l l :   w a r n i n g :   e r r o r   ( " % s " :   f i l e : " % s "   p a r a m s : " % s " ) = % d     H i d e W i n d o w     P o p :   s t a c k   e m p t y     E x c h :   s t a c k   <   % d   e l e m e n t s   R M D i r :   " % s "   M e s s a g e B o x :   % d , " % s "   D e l e t e :   " % s "     % s     F i l e :   w r o t e   % d   t o   " % s "     F i l e :   e r r o r ,   u s e r   c a n c e l     F i l e :   s k i p p e d :   " % s "   ( o v e r w r i t e f l a g = % d )     F i l e :   e r r o r ,   u s e r   a b o r t   F i l e :   e r r o r ,   u s e r   r e t r y   F i l e :   e r r o r   c r e a t i n g   " % s "       F i l e :   o v e r w r i t e f l a g = % d ,   a l l o w s k i p f i l e s f l a g = % d ,   n a m e = " % s "     R e n a m e   f a i l e d :   % s   R e n a m e   o n   r e b o o t :   % s     R e n a m e :   % s         I f F i l e E x i s t s :   f i l e   " % s "   d o e s   n o t   e x i s t ,   j u m p i n g   % d     I f F i l e E x i s t s :   f i l e   " % s "   e x i s t s ,   j u m p i n g   % d     C r e a t e D i r e c t o r y :   " % s "   c r e a t e d       C r e a t e D i r e c t o r y :   c a n ' t   c r e a t e   " % s "   -   a   f i l e   a l r e a d y   e x i s t s     C r e a t e D i r e c t o r y :   c a n ' t   c r e a t e   " % s "   ( e r r = % d )   C r e a t e D i r e c t o r y :   " % s "   ( % d )     S e t F i l e A t t r i b u t e s   f a i l e d .   S e t F i l e A t t r i b u t e s :   " % s " : % 0 8 X     B r i n g T o F r o n t     S l e e p ( % d )   d e t a i l p r i n t :   % s   C a l l :   % d     A b o r t i n g :   " % s "     J u m p :   % d     v e r i f y i n g   i n s t a l l e r :   % d % %   u n p a c k i n g   d a t a :   % d % %     . . .   % d % %         I n s t a l l e r   i n t e g r i t y   c h e c k   h a s   f a i l e d .   C o m m o n   c a u s e s   i n c l u d e 
 i n c o m p l e t e   d o w n l o a d   a n d   d a m a g e d   m e d i a .   C o n t a c t   t h e 
 i n s t a l l e r ' s   a u t h o r   t o   o b t a i n   a   n e w   c o p y . 
 
 M o r e   i n f o r m a t i o n   a t : 
 h t t p : / / n s i s . s f . n e t / N S I S _ E r r o r   E r r o r   w r i t i n g   t e m p o r a r y   f i l e .   M a k e   s u r e   y o u r   t e m p   f o l d e r   i s   v a l i d .     E r r o r   l a u n c h i n g   i n s t a l l e r   S e S h u t d o w n P r i v i l e g e   A   ~ n s u . t m p       _ ? =     \ T e m p     / D =     N C R C     N S I S   E r r o r         i n s t a l l . l o g   o p e n     % u . % u % s % s   S k i p p i n g   s e c t i o n :   " % s "     S e c t i o n :   " % s "   N e w   i n s t a l l   o f   " % s "   t o   " % s "   R i c h E d i t     R i c h E d i t 2 0 A   R i c h E d 3 2     R i c h E d 2 0     _ N b   . e x e         . D E F A U L T \ C o n t r o l   P a n e l \ I n t e r n a t i o n a l         C o n t r o l   P a n e l \ D e s k t o p \ R e s o u r c e L o c a l e     SHGetFolderPathW    SHFOLDER    SHAutoComplete  SHLWAPI GetUserDefaultUILanguage    AdjustTokenPrivileges   LookupPrivilegeValueW   OpenProcessToken    RegDeleteKeyExW ADVAPI32    MoveFileExW GetDiskFreeSpaceExW KERNEL32        [Rename]
  % d         S o f t w a r e \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n       \ M i c r o s o f t \ I n t e r n e t   E x p l o r e r \ Q u i c k   L a u n c h   n s a   * ? | < > / " :      
     i n v a l i d   r e g i s t r y   k e y     H K E Y _ D Y N _ D A T A   H K E Y _ C U R R E N T _ C O N F I G   H K E Y _ P E R F O R M A N C E _ D A T A   H K E Y _ U S E R S     H K E Y _ L O C A L _ M A C H I N E     H K E Y _ C U R R E N T _ U S E R   H K E Y _ C L A S S E S _ R O O T   . . .   % 0 2 x % c     Module32NextW   Module32FirstW  Process32NextW  Process32FirstW CreateToolhelp32Snapshot    Kernel32.DLL    U n k n o w n   GetModuleBaseNameW  EnumProcessModules  EnumProcesses   PSAPI.DLL   
[  %s=%s
 N U L   R M D i r :   R e m o v e D i r e c t o r y   f a i l e d ( " % s " )   R M D i r :   R e m o v e D i r e c t o r y   o n   R e b o o t ( " % s " )     R M D i r :   R e m o v e D i r e c t o r y ( " % s " )         R M D i r :   R e m o v e D i r e c t o r y   i n v a l i d   i n p u t ( " % s " )     D e l e t e :   D e l e t e F i l e   f a i l e d ( " % s " )   D e l e t e :   D e l e t e F i l e   o n   R e b o o t ( " % s " )     D e l e t e :   D e l e t e F i l e ( " % s " )     \ * . *     name    % s :   f a i l e d   o p e n i n g   f i l e   " % s " 
   G e t T T F N a m e S t r i n g     V e r s i o n

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
1 час назад, Иван11 сказал:

А это не вредоносный код? Он сильно выделяется среди кракозябр rar

Не похоже это на вредоносный код.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • corleone2007
      Базы добавились в архив
      Автор corleone2007
      Здравствуйте!
          
      Здравствуйте, ваши файлы запакованы в архивы с паролем.
      Если вам нужен пароль пишите на почту kelianydo@gmail.com
       
      p.s. Огромная просьба не писать просто так, ответы на все популярные вопросы ниже (НАДО ЧИТАТЬ!).1.0020.rar1.0020.rar
      пароль к архиву - копия (118) — копия — копия — копия — копия — копия — копия — копия.txt
    • Petr02
      Проник в систему и зашифровал файловый архив.
      Автор Petr02
      Здравствуйте!

      Пошу помощи. Проник в систему и зашифровал файловый архив. Предположительно, остался сессионный ключ, т.к комп был выключен принудительно до завершения работы вируса, и больше не включался. Если есть возможность помочь, напишите пожалуйста что от меня требуется.

      Заранее спасибо. 
      txt_session_tmp.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • KL FC Bot
      Защищаемся от атак в архивах ZIP, RAR, CAB, MSI, ISO и других | Блог Касперского
      Автор KL FC Bot
      Программы-архиваторы, упрощающие хранение и пересылку файлов, стали привычным инструментом не только для пользователей, но и для злоумышленников. Вредоносные архивы систематически находят как в целевых атаках, так и в инцидентах с шифровальщиками-вымогателями. Злоумышленники в основном применяют их для обхода средств защиты информации, обмана пользователей и, конечно, для извлечения украденных данных. А значит, ИБ- и ИТ- отделам следует уделять особое внимание тому, как архивы обрабатываются в ОС, бизнес-приложениях и защитных инструментах. Рассказываем, для чего злоумышленники могут использовать архивы.
      Доставка вредоносного ПО с обходом предупреждений Mark-of-the-Web
      Благодаря логическим особенностям и уязвимостям конкретных архиваторов, при распаковке под Windows у извлеченного файла иногда не устанавливаются атрибуты «загружен из Интернета» (Mark-of-the-Web, MOTW). Технически эти атрибуты сохраняются в альтернативном потоке данных (NTFS alternative data stream) Zone.Identifier. Если идентификатор указывает на внешний источник файла (ZoneID = 3, 4), то при попытке запуска исполняемого файла появляется предупреждение Windows, а Office автоматически открывает потенциально небезопасный документ в защищенном режиме.
      Эксплуатируя дефекты архиваторов, атакующие обходят этот слой защиты. Самой свежей уязвимостью, приводящей к инцидентам такого рода, стала CVE-2025-31334 в WinRAR, но этот случай не единичный: известны CVE-2025-0411 в 7-Zip, CVE-2024-8811 в WinZip и другие. Важно учитывать, что некоторые архиваторы вообще не поддерживают MOTW, устанавливают ее только для некоторых расширений файла либо только при определенных способах распаковки. Сводная таблица по поддержке MOTW архиваторами доступна на GitHub.
       
      View the full article
    • a.n.d.r.e.w
      Получил подарочек на Новый Год. Зараза зашифровала рабочий архив (((((((
      Автор a.n.d.r.e.w
      Привет, друзья. У меня небольшая организация, 5 рабочих мест, сисадмина нет. Есть виртуальный MS Server 2019 на VMWare работающий на одной из машин. Сервер используется как файловое хранилище и еще на нем sql работает для 1С. В конце декабря обновлял лицензию антивируса, оплатил Premium, который пытался установить и на сервер тоже, конечно не вышло. Думаю когда я искал браузер для установки антивируса тогда и налетел, потому что существующий IE не поддерживался. Последний раз работал 30.12.24, всё было норм. Когда решил заскочить проверить после НГ 01.01.25 обнаружил проблему. С машиной на которой стояла VMW всё хорошо, а в виртуальной системе все плохо. Я конечно все остановил сразу, но уже поздно было. Есть бэкап от октября, поэтому есть оригинальные файлы для анализа. Бесплатные утилиты пробовал, не получилось ничего, хотя может из-за кривых рук. Виртуальные диски скопировал. Монтировал напрямую, проверял антивирусом. Экспериментировал на копиях.
      Друзья, прошу помощи. Готов заплатить за работу!
       
      P.S. Во вложении несколько архивов
      xls, jpeg -в каждом два файла оригинал + шифрованный 
      pic - скриншоты
      htr - требования
      RFST - отчет Farbar Recovery Scan Tool 
      (местонахождение вируса выяснить не смог)
       
       
      htr.rar jpeg.rar pic.rar RFST.rar xls.rar
    • Alex Mor
      БД 1С и часть других файлов перемещены в RAR архив с паролем
      Автор Alex Mor
      Добрый день, Коллеги, столкнулся проблемой произошла утечка реквизитов одной из УЗ администраторов на win сервере, после чего злоумышленники подключились по RDP и переместили файлы БД 1С в запароленный RAR архив, в письме у злоумышленников указаны требования выкупа пароля и контакт:  kelianydo@gmail.com, если сталкивались, прошу помочь.
      пароль к архиву - копия (107) — копия — копия — копия — копия.txt
      CHANGES.txt NOTICE.txt
×
×
  • Создать...