42 ответов в этой теме

[Piterski]

На работе столкнулся с проблемой: Вставляю флешку в компьютер, и одна из папок с office документами стала с расширением .exe? o_0 При этом аваст ругается на папку - "win32.trojan-gen"? Папку не запускал естественно, но как быть с документами в папке, они безвозвратно утеряны или их можно восстановить?

еще небольшой скриншот - http://uimages.ru/index/0-2&photo=1-0-84313

[v.martyanov]

На работе столкнулся с проблемой: Вставляю флешку в компьютер, и одна из папок с office документами стала с расширением .exe? o_0 При этом аваст ругается на папку - "win32.trojan-gen"? Папку не запускал естественно, но как быть с документами в папке, они безвозвратно утеряны или их можно восстановить?

еще небольшой скриншот - http://uimages.ru/index/0-2&photo=1-0-84313

Ссылка "прислать вирус" вверху страницы.

[YVS]

Уверены, что это именно папка, а не файл со значком папки?
Проверьте его на VirusTotal

[v.martyanov]

Уверены, что это именно папка, а не файл со значком папки?
Проверьте его на VirusTotal

Да на 99% файл. Если отключена опция "показывать расширения", то юзер видит папку, кликает по ней. Троян открывает нужную папку в explorer'е - то есть все работает как и ожидалось.

[Piterski]

Ссылка "прислать вирус" вверху страницы.

Извините, я вас не понял.

Уверены, что это именно папка, а не файл со значком папки?
Проверьте его на VirusTotal

Уже не уверен, но я точно знаю что раньше эта была папка с документами http://forum.drweb.com/public/style_emoticons/default/smile.png
http://www.virustotal.com/ru/analisis/4fed...96657037354c557

[YVS]

Извините, я вас не понял.

Прислать вирус - отослать файл на анализ в вирлаб.
Вверху страницы есть "кнопка" с такой же ссылкой.

Судя по VirusTotal, Доктору вирус известен.

[v.martyanov]

Извините, я вас не понял.

Прислать вирус - отослать файл на анализ в вирлаб.
Вверху страницы есть "кнопка" с такой же ссылкой.

Судя по VirusTotal, Доктору вирус известен.

Угу. Тогда не понимаю, зачем тему было создавать? :-)

[Pavel Plotnikov]

Piterski, в чём ваш вопрос?
Ситуация очевидно следующая: на машине откуда вы принесли "папку" есть инфекция, которая создаёт файлы *.exe где вместо * подставляет названия папок и файлов расположенных на компьютере. При копировании на флешку вы скопировали не нужную вам папку, а файл выглядищий как "папка".
Принесли этот файл на другой ПК где он и был успешно обнаружен.
Вывод надо лечить ПК откуда скопировали эту "папку".

[Piterski]

Piterski, в чём ваш вопрос?

Вопрос в том, что надо восстановить файлы которые были в этой папке, как я уже понял это не папка, но а где тогда папка? На машине откуда она была взята ее уже нет о_0

[v.martyanov]

Piterski, в чём ваш вопрос?

Вопрос в том, что надо восстановить файлы которые были в этой папке, как я уже понял это не папка, но а где тогда папка? На машине откуда она была взята ее уже нет о_0

Включить отображение скрытых и системных файлов нужно.

[Piterski]

Включить отображение скрытых и системных файлов нужно.

Ясно, спасибо. И последний вопрос, чем можно вылечить машину где создаются такие файлы *.exe?

[v.martyanov]

Включить отображение скрытых и системных файлов нужно.

Ясно, спасибо. И последний вопрос, чем можно вылечить машину где создаются такие файлы *.exe?

CureIt (http://www.freedrweb.com/cureit/?lng=ru)

[userr]

Ясно, спасибо. И последний вопрос, чем можно вылечить машину где создаются такие файлы *.exe?

Очевидно, Drweb http://forum.drweb.com/public/style_emoticons/default/cool.png
Делайте логи по правилам раздела

[Piterski]

Добрый день Уважаемые! Сегодня я смог занятся машиной где в первые был замечен этот вирус, стал следовать указаниям, но возникла проблема. 

Скачайте свежий CureIt. Создайте папку C:\TEST, скопируйте в нее CureIt. Скачайте прилагаемый файл cureit-scan.zip (см. внизу страницы правил), распакуйте в C:\TEST все файлы, запустите cureit-scan.bat - запустится CureIt. Все найденное - лечить, неизлечимое - перемещать.

При запуске cureit-scan.bat - быстро открывается командная строка, там что то пишется и закрывается, cureIt - не запускается. http://forum.drweb.com/public/style_emoticons/default/sad.png

[YVS]

При запуске cureit-scan.bat - быстро открывается командная строка, там что то пишется и закрывается, cureIt - не запускается.

Добавьте в конец батника (после :end) команду pause - будет возможность рассмотреть, что там пишется.

[Piterski]

Добавьте в конец батника (после :end) команду pause - будет возможность рассмотреть, что там пишется.

А как это сделать?  http://forum.drweb.com/public/style_emoticons/default/blink.png

[YVS]

Добавьте в конец батника (после :end) команду pause - будет возможность рассмотреть, что там пишется.

А как это сделать?  http://forum.drweb.com/public/style_emoticons/default/blink.png

Открыть блокнотом cureit-scan.bat и добавить строку.

На всякий случай приложил новый архив (оригинал взят отсюда).
[здесь было вложение (cureit_scan.zip)]

Сообщение было изменено YVS: 14 Май 2009 - 19:27
Удалил вложение

[Piterski]

сабж - http://s47.radikal.ru/i115/0905/c3/964a71e4eaaa.png http://forum.drweb.com/public/style_emoticons/default/huh.png

[Pavel Plotnikov]

сабж - http://s47.radikal.ru/i115/0905/c3/964a71e4eaaa.png http://forum.drweb.com/public/style_emoticons/default/huh.png

переименуйте 89wf95qu.exe в xyz.pif запустите bat файл и отпишетесь о результате

[Piterski]

89wf95qu.exe в xyz.pif запустите bat файл и отпишетесь о результате

Все запустилось, сейчас проверяется и уже нашло с десяток инфицированных файлов. По этому поводу у меня назрел вопрос - Я все делаю по правилам, лечу и переношу. Но там такие файлы о_0 (в папках system 32 и тд), не упадет ли у меня ОС? Запустится ли она после перезагрузки? о_0