Перейти к содержанию

Изменение формата файлов на MS-DOS


Рекомендуемые сообщения

Приветствую! Неожиданно поймал вирус, прошу Вашей помощи.

 

Суть следующая:

 

1. На почту пришло письмо о судебном извещениии (подобное письмо я ожидал, но оказалось не оно) к которому был прикрплен файл "arhiv-2.rar".

2. После распаковки содержимого, запустил сам файл, который перенаправил меня на какой-то сайт, где красным по белому написано "Принять данные о судебном извещении". После нажатия на эту надпись скачался еще один архив, в котором содержался файл "Архивная документация... ".

3. После запуска этого файла, выскочило сообщение вроде того, что эта программа условно бесплатная и я не могу ее запустить на windows.

 

 

Последствия :

 

1. Большинство файлов (а именно формата txt, jpeg и тд.) приняли формат MS-DOS

2. Также, к названию файлов  добавилась приписка "id-7531321031_protectdata@inbox"

 

 Примечание: Проводил сканирование в Avast и Dr.Web Cureit, ничего не найдено.

 

Подскажите пожалуйста что же делать, да как быть.

И еще сторонняя просьба: Объясните пожалуйста суть данного вируса.

Заранее Вам благодарен!

CollectionLog-2015.01.28-02.09.zip

Ссылка на комментарий
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 

 

 

к которому был прикрплен файл "arhiv-2.rar

Этот файл пришлите мне в ЛС.

 

 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin    
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe');     
 QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe','');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe','32');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
O4 - Startup: foxmail.bmp
O4 - Startup: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe
 
 
Сделайте новые логи Автологгером. 
 
В следующем вашем ответе мне требуются следующие отчеты:
 
1. CollectionLog-yyyy.mm.dd-hh.mm.zip
Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

1. Скрипт выполнил, все прошло успешно.

2. Отправил файл "quarantine.zip"  в лабораторию и получил следующий ответ :

 

" quarantine.zip

Этот файл повреждён. "

 

3. KLAN-2461705121

4. в HiJackThis удалось пофиксить только "O4 - Startup: foxmail.bmp". По причине того, что вторая строка отсутствовала.

5. arhiv-2.rar отправил Вам в ЛС.

CollectionLog-2015.01.28-13.27.zip

Ссылка на комментарий
Поделиться на другие сайты

Деинсталлируйте:

SpyHunter-->MsiExec.exe /X{AF549236-6258-4AC6-A043-5B5B89C6EB61}

В остальном порядок в логах. С расшифровкой не поможем. У конкурентов вроде уже есть расшифровка.

Ссылка на комментарий
Поделиться на другие сайты

Подскажите пожалуйста каким образом нужно произвести данное действие? Деинсталляцию нужно выполнить в какой-то программе? Или же достаточно найти в поиске "MsiExec.exe" и удалить вручную?

Ссылка на комментарий
Поделиться на другие сайты

Через панель управления удалил только SpyHunter.

Названия "MsiExec.exe" там нету. Нашел его через поиск в system32, попытался удалить вручную, но пишет что :

" Вам необходимо разрешение на выполнение этой операции

Запросите разрешение от TrustedInstaller на изменение этого файла "

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • СтранникМ
      От СтранникМ
      Здравствуйте уважаемые Хелперы! Проверил свою ОС (Вин 10) на АВЗ. И вот, что кроме прочего обнаружил:
      >>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
      >>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
      >>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
      >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
      >>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
      В настройках Виндовс - вроде все в порядке, а АВЗ показало то, что указал выше. Можете подсказать скрипт для АВЗ, который изменил бы эти настройки на безопасные. Заранее благодарю!
    • Alex2088
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • Даниил342432
      От Даниил342432
      FRST.txtAddition.txt После подключения к компьютеру по RDP на компьютер попал вирус под названием NESHTA. И зашифровал почти все файлы в тип файла KASPER. Попытались удалить при помощи программы(avg_remover_neshta), но ничего не получилось.
      Дальше воспользовавшись этой ссылкой(https://forum.kasperskyclub.ru/topic/65731-pravila-oformlenija-zaprosa-o-pomoshhi/) решили написать вам.
      Virus.rar
    • skyinfire
      От skyinfire
      Здравствуйте.
      Столкнулись с тем же шифровальщиком - куча файлов, даже фильмов, переименована в *.Bpant.
      Сканирование Касперским (одноразовым) ничего не находит.
      Порт RDP нестандартный (хотя что мешает сканеру найти этот порт - просто на все стучаться, пока RDP не ответит?)
      А вот пароль непростой, 20 символов, хоть и словами с регистрами.
      Другие компы в сети не заражены, хотя на текущем есть общая папка без пароля.
      В первую очередь хочется понять, как произошло заражение, возможен ли взлом (использование уязвимостей Win Server 2019, давно не обновляли?), чтобы предотвратить такое в будущем.
      Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?
      Bpant_Help.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

×
×
  • Создать...