Изменение формата файлов на MS-DOS

[Sigmarenn]

Приветствую! Неожиданно поймал вирус, прошу Вашей помощи.

 

Суть следующая:

 

1. На почту пришло письмо о судебном извещениии (подобное письмо я ожидал, но оказалось не оно) к которому был прикрплен файл "arhiv-2.rar".

2. После распаковки содержимого, запустил сам файл, который перенаправил меня на какой-то сайт, где красным по белому написано "Принять данные о судебном извещении". После нажатия на эту надпись скачался еще один архив, в котором содержался файл "Архивная документация... ".

3. После запуска этого файла, выскочило сообщение вроде того, что эта программа условно бесплатная и я не могу ее запустить на windows.

 

 

Последствия :

 

1. Большинство файлов (а именно формата txt, jpeg и тд.) приняли формат MS-DOS

2. Также, к названию файлов  добавилась приписка "id-7531321031_protectdata@inbox"

 

 Примечание: Проводил сканирование в Avast и Dr.Web Cureit, ничего не найдено.

 

Подскажите пожалуйста что же делать, да как быть.

И еще сторонняя просьба: Объясните пожалуйста суть данного вируса.

Заранее Вам благодарен!

CollectionLog-2015.01.28-02.09.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

 

 

к которому был прикрплен файл "arhiv-2.rar

Этот файл пришлите мне в ЛС.

 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin    
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe');     
 QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe','');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe','32');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

O4 - Startup: foxmail.bmp
O4 - Startup: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe

 

 

Сделайте новые логи Автологгером. 

 

В следующем вашем ответе мне требуются следующие отчеты:

 

1. CollectionLog-yyyy.mm.dd-hh.mm.zip

Изменено 28 января, 2015 пользователем mike 1

[Sigmarenn]

1. Скрипт выполнил, все прошло успешно.

2. Отправил файл "quarantine.zip"  в лабораторию и получил следующий ответ :

 

" quarantine.zip

Этот файл повреждён. "

 

3. KLAN-2461705121

4. в HiJackThis удалось пофиксить только "O4 - Startup: foxmail.bmp". По причине того, что вторая строка отсутствовала.

5. arhiv-2.rar отправил Вам в ЛС.

CollectionLog-2015.01.28-13.27.zip

[mike 1]

Деинсталлируйте:

SpyHunter-->MsiExec.exe /X{AF549236-6258-4AC6-A043-5B5B89C6EB61}

В остальном порядок в логах. С расшифровкой не поможем. У конкурентов вроде уже есть расшифровка.

[Sigmarenn]

Подскажите пожалуйста каким образом нужно произвести данное действие? Деинсталляцию нужно выполнить в какой-то программе? Или же достаточно найти в поиске "MsiExec.exe" и удалить вручную?

[mike 1]

Панель управления => Установка и удаление программ. 

[Sigmarenn]

Через панель управления удалил только SpyHunter.

Названия "MsiExec.exe" там нету. Нашел его через поиск в system32, попытался удалить вручную, но пишет что :

" Вам необходимо разрешение на выполнение этой операции

Запросите разрешение от TrustedInstaller на изменение этого файла "

[mike 1]

 

 

Через панель управления удалил только SpyHunter.

Его и нужно было удалить. 

[Sigmarenn]

Тогда, выходит, что ничего не изменилось.

[mike 1]

Я же написал, что с расшифровкой мы не поможем еще в сообщении № 4.