Проблемы с открытием файлов xlsx и docx

[sergey-del]

Не открываются файлы xlsx и docx. Пишет ошибку "Не удается открыть файл, так как формат или расширение этого файла не являются допустимыми"

Так же в каждой папке появились три новый файла (приложены в архиве). 

Помогите восстановить. 

Спасибо.

файлы.rar

[Sandor]

Здравствуйте!

 

Порядок оформления запроса о помощи

[sergey-del]

Подозрение вызывают два компьютера, т.к. на обоих во всех папках появились дополнительные файлы из первого сообщения. На одном WinXP, на другом Win7. Оба компьютера проверил утилитой Kaspersky Virus Removal Tool 2015, и с обоих записал логи.

CollectionLog-2016.03.24-13.49.zip - это Win7

CollectionLog-2016.03.24-11.55.zip - это WinXP

 

Так же смущает письмо в почте на Win7 следующего содержания: 

 

Dear Client,

 

You have an outstanding debt of - 196,78 $ for period of 02/01 - 03/01. We kindly ask you to transfer the amount as soon as possible in order to avoid power cut.

 

Find you bill and payment information in the document attached.

 

Письмо прочитано и скорей всего вложение открывали.

Вложенный файл также прикрепляю к сообщению (document_42542661.zip)

 

Файлы из первого сообщения появились в папках общего доступа. На данный момент оба подозрительных компьютера отключил от сети.

CollectionLog-2016.03.24-13.49.zip

Изменено 24 марта, 2016 пользователем Sandor

[Sandor]

Для каждого ПК - отдельная тема. Дополнительные файлы пока не попросят специально, не выкладывайте, пожалуйста.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Speed Test (4354)

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\Speed Test (4354)\ScriptHost.dll','');
 DeleteFile('C:\Program Files (x86)\Speed Test (4354)\ScriptHost.dll','32');
 DelBHO('{11C8C9C0-D918-44C0-8B5E-D297DA42F2C7}');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[thyrex]

+ работающего на компьютере с Windows 7 на кол. Умудриться открыть письмо о задолженности на английском и запустить вложение из него- это стоит того, чтобы он заплатил за покупку дешифратора злодеям.

 

Это Tesla 4 (если расширение не поменялось у файлов). Шансов - 0

[sergey-del]

Re: [KLAN-4000168127]

Hello,

 

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.  

 

quarantine.zip

 

No malicious code was found in this file.

 

Best Regards, Kaspersky Lab

 

 

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

2016-03-23 15:34 - 2016-03-23 15:33 - 00368640 ____H C:\Users\kaganovsky_ab\Documents\qdrfxgo.exe

zip:C:\FRST\Quarantine

Startup: C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MyPC Backup.lnk [2013-12-20]

ShortcutTarget: MyPC Backup.lnk -> C:\Program Files (x86)\MyPC Backup\MyPC Backup.exe (MyPCBackup.com)

Startup: C:\Users\kaganovsky_ab\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\+-xxx-HELP-xxx-+ndpln-+.html [2016-03-24] ()

Startup: C:\Users\kaganovsky_ab\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\+-xxx-HELP-xxx-+ndpln-+.png [2016-03-24] ()

Startup: C:\Users\kaganovsky_ab\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\+-xxx-HELP-xxx-+ndpln-+.txt [2016-03-24] ()

CHR HKLM-x32\...\Chrome\Extension: [lbgfiglojokgabdbhegbpjgojgppppgf] - C:\Users\123\AppData\Roaming\freegames4357\freegames4357.crx [2013-10-22]

CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\123\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [2013-12-20]

Task: {F207E0CE-2124-47A5-8D21-A7BC31EBC83D} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe [2014-11-13] (MyPC Backup) <==== ATTENTION

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
  

 

 

[sergey-del]

Выполнил

Выполнил

файл Upload.zip загрузил через предложенную форму

Fixlog.txt

Fixlog.txt

[mike 1]

С расшифровкой не поможем.

 

https://forum.kaspersky.com/index.php?showtopic=314866

[sergey-del]

Очень плохо

Как хотя бы эту гадость вычистить и убедиться что ее уже нет в нашей сети?

[mike 1]

Очень плохо

Как хотя бы эту гадость вычистить и убедиться что ее уже нет в нашей сети?

Уже вычистили. Ничего в следующий раз человек голову будет включать. Мне некоторых людей не жалко. 

[sergey-del]

Для второго подозрительного компьютера новую тему создавать или можно тут же вопрос решить?

[Sandor]

Создайте новую, чтоб не было путаницы.

Здесь можете проверить уязвимые места:

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[sergey-del]

Не удается по этой ссылке скачать

[Sandor]

Скачайте другим браузером, например, IE.