Как вылечить папки с расширением exe
Модератор: mike 1
Tehnar
Интересующийся
Сообщения: 33 Зарегистрирован: 21 ноя 2014, 12:18
Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
Tehnar » 03 дек 2014, 13:13
Компьютер заразился вирусом. Некоторые папки на дисках C и D превратились в ярлыки и при попытке открыть их, выскакивает сообщение “Программа не запускается”. Зараженные папки (ярлыки) все стали расширением .ЕХЕ. Подскажите пожалуйста как вылечить данный вирус? Что за вирус такой?
DesignerMix
Администратор
Сообщения: 6641 Зарегистрирован: 25 апр 2014, 10:51
Откуда: Белгород
Re: Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
DesignerMix » 03 дек 2014, 14:49
Tehnar, Прежде всего включите отображение скрытых файлов и папок (включая системные!), если вы увидите ваши папки в виде полупрозрачных значков то следующий скрипт вам поможет. Скиньте в корень папки или диска на котором есть exe-файлы с пиктограммами ярлыков вот этот bat-файл и запустите его (желательно с правами администратора):
anti_hidden.rar
Скрипт для снятия “аттрибутов” скрытый и “системный” (193 байт) 6050 скачиваний
Скрипт проверенный и много раз выручал.
После запуска скрипта в корне той папки или диска откуда он был запущен у всех файлов и папок будут сняты атрибуты “скрытый” и “системный”. Также будет создан файл list.txt в котором будут перечислены имена папок и файлов с которых снялись эти аттрибуты. После этого вы можете сделать отображение содержимого в виде таблицы (через меню вид) и отсортировать все “по типу” а затем удалить вредоносные файлы.
Поле этого обязательно проверьте компьютер и все ваши флешки антивирусом. Например Kaspersky Virus Removal Tool
Tehnar
Интересующийся
Сообщения: 33 Зарегистрирован: 21 ноя 2014, 12:18
Re: Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
Tehnar » 03 дек 2014, 16:46
DesignerMix, вылечил компьютер с помомощью ваших советов, сейчас тестируется Касперским. А что за вирус такой и с какой целью он создает скрытые папки? Спасибо.
DesignerMix
Администратор
Сообщения: 6641 Зарегистрирован: 25 апр 2014, 10:51
Откуда: Белгород
Re: Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
DesignerMix » 03 дек 2014, 16:53
Tehnar, этот вирус распространяется с помощью флешек и его цель заставить пользователя запустить самого себя что-бы заразить компьютер или другую флешку. Делает он это крайне просто – берет и скрывает все папки создавая exe-файлы или ярлыки которые запускают вирус и при этом открывают нужную папку (часто она открывается в новом окне). Поэтому пользователь может долго ничего не подозревать (так как все работает). Сложность в удалении именно в том что помимо атрибута “скрытый” он добавляет “системный” атрибут который убрать сложнее.
Но все что я описал выше это только способ заражения, а вот что делает конкретный вирус – нужно разбираться.
Tehnar
Интересующийся
Сообщения: 33 Зарегистрирован: 21 ноя 2014, 12:18
Re: Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
Tehnar » 03 дек 2014, 17:25
Кстати заразился от винчестера, который принесли на тестирование. Подключил его к своей рабочей машине. На будущее- прежде чем открывать содержание неизвестного винчестера, проверьте его на вирусы!
komdiv
Новичок
Сообщения: 3 Зарегистрирован: 12 дек 2014, 13:13
Re: Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
komdiv » 12 дек 2014, 13:24
Ничего страшного это вирус пока что не делает, кроме того что прячет все подряд, но проверить глубже нужно. Уже не первый раз имею дело с ним! Атрибуты снимаю через тотал (файлы – изменить атрибуты…), а сам вирус удаляю вручную, НО на всякий случай делаю глубокую проверку с помощью Emsisoft Emergency Kit – https://programmybesplatno.com/system-so … gency-kit/. Он находит то, что другие бренды не находят! Советую всегда иметь под рукой этот сканер.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей
Источник
#1
Piterski
Piterski
- Posters
- 16 Сообщений:
Newbie
Отправлено 13 Май 2009 – 12:59
На работе столкнулся с проблемой: Вставляю флешку в компьютер, и одна из папок с office документами стала с расширением .exe? o_0 При этом аваст ругается на папку – “win32.trojan-gen”? Папку не запускал естественно, но как быть с документами в папке, они безвозвратно утеряны или их можно восстановить?
еще небольшой скриншот – https://uimages.ru/index/0-2&photo=1-0-84313
#2
v.martyanov
v.martyanov
- Virus Analysts
- 8 308 Сообщений:
Guru
Отправлено 13 Май 2009 – 13:02
На работе столкнулся с проблемой: Вставляю флешку в компьютер, и одна из папок с office документами стала с расширением .exe? o_0 При этом аваст ругается на папку – “win32.trojan-gen”? Папку не запускал естественно, но как быть с документами в папке, они безвозвратно утеряны или их можно восстановить?
еще небольшой скриншот – https://uimages.ru/index/0-2&photo=1-0-84313
Ссылка “прислать вирус” вверху страницы.
#3
YVS
YVS
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 13 Май 2009 – 13:02
Уверены, что это именно папка, а не файл со значком папки?
Проверьте его на VirusTotal
#4
v.martyanov
v.martyanov
- Virus Analysts
- 8 308 Сообщений:
Guru
Отправлено 13 Май 2009 – 13:05
Уверены, что это именно папка, а не файл со значком папки?
Проверьте его на VirusTotal
Да на 99% файл. Если отключена опция “показывать расширения”, то юзер видит папку, кликает по ней. Троян открывает нужную папку в explorer’е – то есть все работает как и ожидалось.
#5
Piterski
Piterski
- Posters
- 16 Сообщений:
Newbie
Отправлено 13 Май 2009 – 13:09
Ссылка “прислать вирус” вверху страницы.
Извините, я вас не понял.
Уверены, что это именно папка, а не файл со значком папки?
Проверьте его на VirusTotal
Уже не уверен, но я точно знаю что раньше эта была папка с документами https://forum.drweb.com/public/style_emoticons/default/smile.png
https://www.virustotal.com/ru/analisis/4fed…96657037354c557
#6
YVS
YVS
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 13 Май 2009 – 13:11
Извините, я вас не понял.
Прислать вирус – отослать файл на анализ в вирлаб.
Вверху страницы есть “кнопка” с такой же ссылкой.
Судя по VirusTotal, Доктору вирус известен.
#7
v.martyanov
v.martyanov
- Virus Analysts
- 8 308 Сообщений:
Guru
Отправлено 13 Май 2009 – 13:14
Извините, я вас не понял.
Прислать вирус – отослать файл на анализ в вирлаб.
Вверху страницы есть “кнопка” с такой же ссылкой.Судя по VirusTotal, Доктору вирус известен.
Угу. Тогда не понимаю, зачем тему было создавать? 🙂
#8
Pavel Plotnikov
Pavel Plotnikov
- Guests
- 5 276 Сообщений:
Отправлено 13 Май 2009 – 13:14
Piterski, в чём ваш вопрос?
Ситуация очевидно следующая: на машине откуда вы принесли “папку” есть инфекция, которая создаёт файлы *.exe где вместо * подставляет названия папок и файлов расположенных на компьютере. При копировании на флешку вы скопировали не нужную вам папку, а файл выглядищий как “папка”.
Принесли этот файл на другой ПК где он и был успешно обнаружен.
Вывод надо лечить ПК откуда скопировали эту “папку”.
GUI/Android/iOS/WP8/волейбол
#9
Piterski
Piterski
- Posters
- 16 Сообщений:
Newbie
Отправлено 13 Май 2009 – 13:18
Piterski, в чём ваш вопрос?
Вопрос в том, что надо восстановить файлы которые были в этой папке, как я уже понял это не папка, но а где тогда папка? На машине откуда она была взята ее уже нет о_0
#10
v.martyanov
v.martyanov
- Virus Analysts
- 8 308 Сообщений:
Guru
Отправлено 13 Май 2009 – 13:21
Piterski, в чём ваш вопрос?
Вопрос в том, что надо восстановить файлы которые были в этой папке, как я уже понял это не папка, но а где тогда папка? На машине откуда она была взята ее уже нет о_0
Включить отображение скрытых и системных файлов нужно.
#11
Piterski
Piterski
- Posters
- 16 Сообщений:
Newbie
Отправлено 13 Май 2009 – 13:30
Включить отображение скрытых и системных файлов нужно.
Ясно, спасибо. И последний вопрос, чем можно вылечить машину где создаются такие файлы *.exe?
#12
v.martyanov
v.martyanov
- Virus Analysts
- 8 308 Сообщений:
Guru
Отправлено 13 Май 2009 – 13:32
Включить отображение скрытых и системных файлов нужно.
Ясно, спасибо. И последний вопрос, чем можно вылечить машину где создаются такие файлы *.exe?
CureIt (https://www.freedrweb.com/cureit/?lng=ru)
#13
userr
userr
- Members
- 16 310 Сообщений:
Newbie
Отправлено 13 Май 2009 – 13:33
Ясно, спасибо. И последний вопрос, чем можно вылечить машину где создаются такие файлы *.exe?
Очевидно, Drweb https://forum.drweb.com/public/style_emoticons/default/cool.png
Делайте логи по правилам раздела
#14
Piterski
Piterski
- Posters
- 16 Сообщений:
Newbie
Отправлено 14 Май 2009 – 11:59
Добрый день Уважаемые! Сегодня я смог занятся машиной где в первые был замечен этот вирус, стал следовать указаниям, но возникла проблема.
Скачайте свежий CureIt. Создайте папку C:TEST, скопируйте в нее CureIt. Скачайте прилагаемый файл cureit-scan.zip (см. внизу страницы правил), распакуйте в C:TEST все файлы, запустите cureit-scan.bat – запустится CureIt. Все найденное – лечить, неизлечимое – перемещать.
При запуске cureit-scan.bat – быстро открывается командная строка, там что то пишется и закрывается, cureIt – не запускается. https://forum.drweb.com/public/style_emoticons/default/sad.png
#15
YVS
YVS
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 14 Май 2009 – 12:03
При запуске cureit-scan.bat – быстро открывается командная строка, там что то пишется и закрывается, cureIt – не запускается.
Добавьте в конец батника (после :end) команду pause – будет возможность рассмотреть, что там пишется.
#16
Piterski
Piterski
- Posters
- 16 Сообщений:
Newbie
Отправлено 14 Май 2009 – 12:12
Добавьте в конец батника (после :end) команду pause – будет возможность рассмотреть, что там пишется.
А как это сделать? https://forum.drweb.com/public/style_emoticons/default/blink.png
#17
YVS
Отправлено 14 Май 2009 – 12:14
Добавьте в конец батника (после :end) команду pause – будет возможность рассмотреть, что там пишется.
А как это сделать? https://forum.drweb.com/public/style_emoticons/default/blink.png
Открыть блокнотом cureit-scan.bat и добавить строку.
На всякий случай приложил новый архив (оригинал взят отсюда).
[здесь было вложение (cureit_scan.zip)]
Сообщение было изменено YVS: 14 Май 2009 – 19:27
Удалил вложение
#18
Piterski
Piterski
- Posters
- 16 Сообщений:
Newbie
Отправлено 14 Май 2009 – 12:18
#19
Pavel Plotnikov
Pavel Plotnikov
- Guests
- 5 276 Сообщений:
Отправлено 14 Май 2009 – 12:22
сабж – https://s47.radikal.ru/i115/0905/c3/964a71e4eaaa.png https://forum.drweb.com/public/style_emoticons/default/huh.png
переименуйте 89wf95qu.exe в xyz.pif запустите bat файл и отпишетесь о результате
GUI/Android/iOS/WP8/волейбол
#20
Piterski
Piterski
- Posters
- 16 Сообщений:
Newbie
Отправлено 14 Май 2009 – 12:31
89wf95qu.exe в xyz.pif запустите bat файл и отпишетесь о результате
Все запустилось, сейчас проверяется и уже нашло с десяток инфицированных файлов. По этому поводу у меня назрел вопрос – Я все делаю по правилам, лечу и переношу. Но там такие файлы о_0 (в папках system 32 и тд), не упадет ли у меня ОС? Запустится ли она после перезагрузки? о_0
Источник
06.02.2011, 17:41
#1
Junior Member
Вес репутации
36Вирус создает папки с расширением .ехе
На флешке всем папкам добавляется расширение .ехе. Независимо от количества файлов, которые есть в той или иной папке, все они имеют размер 249 кб. Хотя на флешке были разные по размеру папки, сейчас они все одинаковые.
Их можно открыть и скопировать любой файл. Открывается в проводнике, хотя раньше открывалось просто в окне.Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
07.02.2011, 00:12
#2
Это не папки с расширением .exe, а вредоносные файлы, значок которых такой же как у папки, чтобы ввести пользователя в заблуждение.
Настоящие файлы вирус сделал скрытыми, в чем можно убедиться в любом файловом менеджере типа Total CommanderMicrosoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect07.02.2011, 13:17
#3
Junior Member
Вес репутации
36Как лечить?
Сообщение от thyrex
Это не папки с расширением .exe, а вредоносные файлы, значок которых такой же как у папки, чтобы ввести пользователя в заблуждение.
Настоящие файлы вирус сделал скрытыми, в чем можно убедиться в любом файловом менеджере типа Total CommanderА как лечить или удалить такой вирус? Потому что у меня нод, а он молчит, ничего не видит.
07.02.2011, 13:19
#4
12.02.2011, 12:53
#5
Junior Member
Вес репутации
36Сообщение от polword
пролечитесь так
Только вот с нетубка как грузится. Там сд нет, там только с флешки.
12.02.2011, 13:56
#6
Сообщение от galanet
Там сд нет, там только с флешки.
См. последнее сообщение в этой теме:
https://virusinfo.info/showthread.php?t=15927.I am not young enough to know everything…
Источник