Как вылечить папки с расширением exe
Модератор: mike 1
Tehnar
Интересующийся
Сообщения: 33 Зарегистрирован: 21 ноя 2014, 12:18
Есть ответ: 1
Статус:
Не в сети
Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
Tehnar » 03 дек 2014, 13:13
Компьютер заразился вирусом. Некоторые папки на дисках C и D превратились в ярлыки и при попытке открыть их, выскакивает сообщение «Программа не запускается». Зараженные папки (ярлыки) все стали расширением .ЕХЕ. Подскажите пожалуйста как вылечить данный вирус? Что за вирус такой?
ЛУЧШИЙ ОТВЕТ DesignerMix » 03 дек 2014, 14:49
Tehnar, Прежде всего включите отображение скрытых файлов и папок (включая системные!), если вы увидите ваши папки в виде полупрозрачных значков то следующий скрипт вам поможет. Скиньте в корень папки или диска на котором есть exe-файлы с пиктограммами ярлыков вот этот bat-файл и запустите его (желательно с правами администратора):
Скрипт проверенный и много раз выручал.
После запуска скрипта в корне той папки или диска откуда он был запущен у всех файлов и папок будут сняты атрибуты «скрытый» и «системный». Также будет создан файл list.txt в котором будут перечислены имена папок и файлов с которых снялись эти аттрибуты. После этого вы можете сделать отображение содержимого в виде таблицы (через меню вид) и отсортировать все «по типу» а затем удалить вредоносные файлы.
Поле этого обязательно проверьте компьютер и все ваши флешки антивирусом. Например Kaspersky Virus Removal Tool
ПЕРЕЙТИ К ПОЛНОМУ СООБЩЕНИЮ ➙
DesignerMix
Администратор
Сообщения: 6435 Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 218 Откуда: Белгород
Статус:
Не в сети
Re: Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
DesignerMix » 03 дек 2014, 14:49
Tehnar, Прежде всего включите отображение скрытых файлов и папок (включая системные!), если вы увидите ваши папки в виде полупрозрачных значков то следующий скрипт вам поможет. Скиньте в корень папки или диска на котором есть exe-файлы с пиктограммами ярлыков вот этот bat-файл и запустите его (желательно с правами администратора):
anti_hidden.rar
Скрипт для снятия «аттрибутов» скрытый и «системный» (193 байт) 5206 скачиваний
Скрипт проверенный и много раз выручал.
После запуска скрипта в корне той папки или диска откуда он был запущен у всех файлов и папок будут сняты атрибуты «скрытый» и «системный». Также будет создан файл list.txt в котором будут перечислены имена папок и файлов с которых снялись эти аттрибуты. После этого вы можете сделать отображение содержимого в виде таблицы (через меню вид) и отсортировать все «по типу» а затем удалить вредоносные файлы.
Поле этого обязательно проверьте компьютер и все ваши флешки антивирусом. Например Kaspersky Virus Removal Tool
Tehnar
Интересующийся
Сообщения: 33 Зарегистрирован: 21 ноя 2014, 12:18
Есть ответ: 1
Статус:
Не в сети
Re: Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
Tehnar » 03 дек 2014, 16:46
DesignerMix, вылечил компьютер с помомощью ваших советов, сейчас тестируется Касперским. А что за вирус такой и с какой целью он создает скрытые папки? Спасибо.
DesignerMix
Администратор
Сообщения: 6435 Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 218 Откуда: Белгород
Статус:
Не в сети
Re: Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
DesignerMix » 03 дек 2014, 16:53
Tehnar, этот вирус распространяется с помощью флешек и его цель заставить пользователя запустить самого себя что-бы заразить компьютер или другую флешку. Делает он это крайне просто — берет и скрывает все папки создавая exe-файлы или ярлыки которые запускают вирус и при этом открывают нужную папку (часто она открывается в новом окне). Поэтому пользователь может долго ничего не подозревать (так как все работает). Сложность в удалении именно в том что помимо атрибута «скрытый» он добавляет «системный» атрибут который убрать сложнее.
Но все что я описал выше это только способ заражения, а вот что делает конкретный вирус — нужно разбираться.
Tehnar
Интересующийся
Сообщения: 33 Зарегистрирован: 21 ноя 2014, 12:18
Есть ответ: 1
Статус:
Не в сети
Re: Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
Tehnar » 03 дек 2014, 17:25
Кстати заразился от винчестера, который принесли на тестирование. Подключил его к своей рабочей машине. На будущее- прежде чем открывать содержание неизвестного винчестера, проверьте его на вирусы!
komdiv
Новичок
Сообщения: 3 Зарегистрирован: 12 дек 2014, 13:13
Статус:
Не в сети
Re: Лечим зараженные папки .ЕХЕ, которые стали ярлыками
Сообщение
komdiv » 12 дек 2014, 13:24
Ничего страшного это вирус пока что не делает, кроме того что прячет все подряд, но проверить глубже нужно. Уже не первый раз имею дело с ним! Атрибуты снимаю через тотал (файлы — изменить атрибуты…), а сам вирус удаляю вручную, НО на всякий случай делаю глубокую проверку с помощью Emsisoft Emergency Kit — https://programmybesplatno.com/system-so … gency-kit/. Он находит то, что другие бренды не находят! Советую всегда иметь под рукой этот сканер.
Кто сейчас на конференции
Сейчас этот форум просматривают: Yandex [Bot] и 0 гостей
Источник
#1
Piterski
Piterski
- Posters
- 16 Сообщений:
Newbie
Отправлено 13 Май 2009 — 12:59
На работе столкнулся с проблемой: Вставляю флешку в компьютер, и одна из папок с office документами стала с расширением .exe? o_0 При этом аваст ругается на папку — «win32.trojan-gen»? Папку не запускал естественно, но как быть с документами в папке, они безвозвратно утеряны или их можно восстановить?
еще небольшой скриншот — https://uimages.ru/index/0-2&photo=1-0-84313
#2
v.martyanov
v.martyanov
- Virus Analysts
- 8 308 Сообщений:
Guru
Отправлено 13 Май 2009 — 13:02
На работе столкнулся с проблемой: Вставляю флешку в компьютер, и одна из папок с office документами стала с расширением .exe? o_0 При этом аваст ругается на папку — «win32.trojan-gen»? Папку не запускал естественно, но как быть с документами в папке, они безвозвратно утеряны или их можно восстановить?
еще небольшой скриншот — https://uimages.ru/index/0-2&photo=1-0-84313
Ссылка «прислать вирус» вверху страницы.
#3
YVS
YVS
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 13 Май 2009 — 13:02
Уверены, что это именно папка, а не файл со значком папки?
Проверьте его на VirusTotal
#4
v.martyanov
v.martyanov
- Virus Analysts
- 8 308 Сообщений:
Guru
Отправлено 13 Май 2009 — 13:05
Уверены, что это именно папка, а не файл со значком папки?
Проверьте его на VirusTotal
Да на 99% файл. Если отключена опция «показывать расширения», то юзер видит папку, кликает по ней. Троян открывает нужную папку в explorer’е — то есть все работает как и ожидалось.
#5
Piterski
Piterski
- Posters
- 16 Сообщений:
Newbie
Отправлено 13 Май 2009 — 13:09
Ссылка «прислать вирус» вверху страницы.
Извините, я вас не понял.
Уверены, что это именно папка, а не файл со значком папки?
Проверьте его на VirusTotal
Уже не уверен, но я точно знаю что раньше эта была папка с документами https://forum.drweb.com/public/style_emoticons/default/smile.png
https://www.virustotal.com/ru/analisis/4fed…96657037354c557
#6
YVS
YVS
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 13 Май 2009 — 13:11
Извините, я вас не понял.
Прислать вирус — отослать файл на анализ в вирлаб.
Вверху страницы есть «кнопка» с такой же ссылкой.
Судя по VirusTotal, Доктору вирус известен.
#7
v.martyanov
v.martyanov
- Virus Analysts
- 8 308 Сообщений:
Guru
Отправлено 13 Май 2009 — 13:14
Извините, я вас не понял.
Прислать вирус — отослать файл на анализ в вирлаб.
Вверху страницы есть «кнопка» с такой же ссылкой.Судя по VirusTotal, Доктору вирус известен.
Угу. Тогда не понимаю, зачем тему было создавать? 🙂
#8
Pavel Plotnikov
Pavel Plotnikov
- Members
- 5 276 Сообщений:
guru
Отправлено 13 Май 2009 — 13:14
Piterski, в чём ваш вопрос?
Ситуация очевидно следующая: на машине откуда вы принесли «папку» есть инфекция, которая создаёт файлы *.exe где вместо * подставляет названия папок и файлов расположенных на компьютере. При копировании на флешку вы скопировали не нужную вам папку, а файл выглядищий как «папка».
Принесли этот файл на другой ПК где он и был успешно обнаружен.
Вывод надо лечить ПК откуда скопировали эту «папку».
GUI/Android/iOS/WP8/волейбол
#9
Piterski
Piterski
- Posters
- 16 Сообщений:
Newbie
Отправлено 13 Май 2009 — 13:18
Piterski, в чём ваш вопрос?
Вопрос в том, что надо восстановить файлы которые были в этой папке, как я уже понял это не папка, но а где тогда папка? На машине откуда она была взята ее уже нет о_0
#10
v.martyanov
v.martyanov
- Virus Analysts
- 8 308 Сообщений:
Guru
Отправлено 13 Май 2009 — 13:21
Piterski, в чём ваш вопрос?
Вопрос в том, что надо восстановить файлы которые были в этой папке, как я уже понял это не папка, но а где тогда папка? На машине откуда она была взята ее уже нет о_0
Включить отображение скрытых и системных файлов нужно.
#11
Piterski
Piterski
- Posters
- 16 Сообщений:
Newbie
Отправлено 13 Май 2009 — 13:30
Включить отображение скрытых и системных файлов нужно.
Ясно, спасибо. И последний вопрос, чем можно вылечить машину где создаются такие файлы *.exe?
#12
v.martyanov
v.martyanov
- Virus Analysts
- 8 308 Сообщений:
Guru
Отправлено 13 Май 2009 — 13:32
Включить отображение скрытых и системных файлов нужно.
Ясно, спасибо. И последний вопрос, чем можно вылечить машину где создаются такие файлы *.exe?
CureIt (https://www.freedrweb.com/cureit/?lng=ru)
#13
userr
userr
- Moderators
- 16 310 Сообщений:
The Master
Отправлено 13 Май 2009 — 13:33
Ясно, спасибо. И последний вопрос, чем можно вылечить машину где создаются такие файлы *.exe?
Очевидно, Drweb https://forum.drweb.com/public/style_emoticons/default/cool.png
Делайте логи по правилам раздела
#14
Piterski
Piterski
- Posters
- 16 Сообщений:
Newbie
Отправлено 14 Май 2009 — 11:59
Добрый день Уважаемые! Сегодня я смог занятся машиной где в первые был замечен этот вирус, стал следовать указаниям, но возникла проблема.
Скачайте свежий CureIt. Создайте папку C:TEST, скопируйте в нее CureIt. Скачайте прилагаемый файл cureit-scan.zip (см. внизу страницы правил), распакуйте в C:TEST все файлы, запустите cureit-scan.bat — запустится CureIt. Все найденное — лечить, неизлечимое — перемещать.
При запуске cureit-scan.bat — быстро открывается командная строка, там что то пишется и закрывается, cureIt — не запускается. https://forum.drweb.com/public/style_emoticons/default/sad.png
#15
YVS
YVS
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 14 Май 2009 — 12:03
При запуске cureit-scan.bat — быстро открывается командная строка, там что то пишется и закрывается, cureIt — не запускается.
Добавьте в конец батника (после :end) команду pause — будет возможность рассмотреть, что там пишется.
#16
Piterski
Piterski
- Posters
- 16 Сообщений:
Newbie
Отправлено 14 Май 2009 — 12:12
Добавьте в конец батника (после :end) команду pause — будет возможность рассмотреть, что там пишется.
А как это сделать? https://forum.drweb.com/public/style_emoticons/default/blink.png
#17
YVS
YVS
- Helpers
- 4 798 Сообщений:
Звездочет
Отправлено 14 Май 2009 — 12:14
Добавьте в конец батника (после :end) команду pause — будет возможность рассмотреть, что там пишется.
А как это сделать? https://forum.drweb.com/public/style_emoticons/default/blink.png
Открыть блокнотом cureit-scan.bat и добавить строку.
На всякий случай приложил новый архив (оригинал взят отсюда).
[здесь было вложение (cureit_scan.zip)]
Сообщение было изменено YVS: 14 Май 2009 — 19:27
Удалил вложение
#18
Piterski
Piterski
- Posters
- 16 Сообщений:
Newbie
Отправлено 14 Май 2009 — 12:18
#19
Pavel Plotnikov
Pavel Plotnikov
- Members
- 5 276 Сообщений:
guru
Отправлено 14 Май 2009 — 12:22
сабж — https://s47.radikal.ru/i115/0905/c3/964a71e4eaaa.png https://forum.drweb.com/public/style_emoticons/default/huh.png
переименуйте 89wf95qu.exe в xyz.pif запустите bat файл и отпишетесь о результате
GUI/Android/iOS/WP8/волейбол
#20
Piterski
Piterski
- Posters
- 16 Сообщений:
Newbie
Отправлено 14 Май 2009 — 12:31
89wf95qu.exe в xyz.pif запустите bat файл и отпишетесь о результате
Все запустилось, сейчас проверяется и уже нашло с десяток инфицированных файлов. По этому поводу у меня назрел вопрос — Я все делаю по правилам, лечу и переношу. Но там такие файлы о_0 (в папках system 32 и тд), не упадет ли у меня ОС? Запустится ли она после перезагрузки? о_0
Источник
06.02.2011, 17:41
#1
Junior Member
Вес репутации
33
Вирус создает папки с расширением .ехеНа флешке всем папкам добавляется расширение .ехе. Независимо от количества файлов, которые есть в той или иной папке, все они имеют размер 249 кб. Хотя на флешке были разные по размеру папки, сейчас они все одинаковые.
Их можно открыть и скопировать любой файл. Открывается в проводнике, хотя раньше открывалось просто в окне.Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
07.02.2011, 00:12
#2
Это не папки с расширением .exe, а вредоносные файлы, значок которых такой же как у папки, чтобы ввести пользователя в заблуждение.
Настоящие файлы вирус сделал скрытыми, в чем можно убедиться в любом файловом менеджере типа Total CommanderMicrosoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect07.02.2011, 13:17
#3
Junior Member
Вес репутации
33Как лечить?
Сообщение от thyrex
Это не папки с расширением .exe, а вредоносные файлы, значок которых такой же как у папки, чтобы ввести пользователя в заблуждение.
Настоящие файлы вирус сделал скрытыми, в чем можно убедиться в любом файловом менеджере типа Total CommanderА как лечить или удалить такой вирус? Потому что у меня нод, а он молчит, ничего не видит.
07.02.2011, 13:19
#4
12.02.2011, 12:53
#5
Junior Member
Вес репутации
33 Сообщение от polword
пролечитесь так
Только вот с нетубка как грузится. Там сд нет, там только с флешки.
12.02.2011, 13:56
#6
Сообщение от galanet
Там сд нет, там только с флешки.
См. последнее сообщение в этой теме:
https://virusinfo.info/showthread.php?t=15927.I am not young enough to know everything…
Источник
