Перейти к содержанию

Изменение формата файлов на MS-DOS


Рекомендуемые сообщения

Приветствую! Неожиданно поймал вирус, прошу Вашей помощи.

 

Суть следующая:

 

1. На почту пришло письмо о судебном извещениии (подобное письмо я ожидал, но оказалось не оно) к которому был прикрплен файл "arhiv-2.rar".

2. После распаковки содержимого, запустил сам файл, который перенаправил меня на какой-то сайт, где красным по белому написано "Принять данные о судебном извещении". После нажатия на эту надпись скачался еще один архив, в котором содержался файл "Архивная документация... ".

3. После запуска этого файла, выскочило сообщение вроде того, что эта программа условно бесплатная и я не могу ее запустить на windows.

 

 

Последствия :

 

1. Большинство файлов (а именно формата txt, jpeg и тд.) приняли формат MS-DOS

2. Также, к названию файлов  добавилась приписка "id-7531321031_protectdata@inbox"

 

 Примечание: Проводил сканирование в Avast и Dr.Web Cureit, ничего не найдено.

 

Подскажите пожалуйста что же делать, да как быть.

И еще сторонняя просьба: Объясните пожалуйста суть данного вируса.

Заранее Вам благодарен!

CollectionLog-2015.01.28-02.09.zip

Ссылка на комментарий
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 

 

 

к которому был прикрплен файл "arhiv-2.rar

Этот файл пришлите мне в ЛС.

 

 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin    
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe');     
 QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe','');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe','32');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
O4 - Startup: foxmail.bmp
O4 - Startup: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe
 
 
Сделайте новые логи Автологгером. 
 
В следующем вашем ответе мне требуются следующие отчеты:
 
1. CollectionLog-yyyy.mm.dd-hh.mm.zip
Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

1. Скрипт выполнил, все прошло успешно.

2. Отправил файл "quarantine.zip"  в лабораторию и получил следующий ответ :

 

" quarantine.zip

Этот файл повреждён. "

 

3. KLAN-2461705121

4. в HiJackThis удалось пофиксить только "O4 - Startup: foxmail.bmp". По причине того, что вторая строка отсутствовала.

5. arhiv-2.rar отправил Вам в ЛС.

CollectionLog-2015.01.28-13.27.zip

Ссылка на комментарий
Поделиться на другие сайты

Деинсталлируйте:

SpyHunter-->MsiExec.exe /X{AF549236-6258-4AC6-A043-5B5B89C6EB61}

В остальном порядок в логах. С расшифровкой не поможем. У конкурентов вроде уже есть расшифровка.

Ссылка на комментарий
Поделиться на другие сайты

Подскажите пожалуйста каким образом нужно произвести данное действие? Деинсталляцию нужно выполнить в какой-то программе? Или же достаточно найти в поиске "MsiExec.exe" и удалить вручную?

Ссылка на комментарий
Поделиться на другие сайты

Через панель управления удалил только SpyHunter.

Названия "MsiExec.exe" там нету. Нашел его через поиск в system32, попытался удалить вручную, но пишет что :

" Вам необходимо разрешение на выполнение этой операции

Запросите разрешение от TrustedInstaller на изменение этого файла "

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Slimens
      Автор Slimens
      ЧП зашифровало сервера может кто подскажет что делать формат файлов JWEYZP есть расшифратор от этого или нет?
    • Evgeniy Alekseevich
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • Владислав Эпштейн
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
    • Alexxxxx
      Автор Alexxxxx
      Я установил РАТ файл случайно 
      По ту сторону вируса со мной связался человек он говорит что у меня установлен dropper и bootkit вместе с rat вирусом он пытался получить доступ к аккаунтам , у некоторых я поменял пароль и отключил интернет кабель, что мне делать
    • Serhio0606
      Автор Serhio0606
      Здравствуйте, хотел скачать игру, но «Касперский» посчитал, что в файле-установщике есть вирус ( UDS:DangerousObject.Multi.Generic ). Я почитал про это в интернете и узнал, что он не всегда бывает вирусом, и чтобы проверить, можно отправить файл на форум, где специалисты вручную проверят его на наличие вирусов. Помогите, пожалуйста!
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
       
      Строгое предупреждение от модератора Mark D. Pearlstone На форуме запрещено размещать вредоносные и потенциально вредоносные файлы и ссылки на них.
       
×
×
  • Создать...