瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 WORK文件后缀名变成EXE,试了很多都没法解决。急!!!(附件已上传)

12   1  /  2  页   跳转

[求助] WORK文件后缀名变成EXE,试了很多都没法解决。急!!!(附件已上传)

WORK文件后缀名变成EXE,试了很多都没法解决。急!!!(附件已上传)

上传文件为二个,在RAR里。

其中一文件WORD文件解压出来可以得到三个文件,另外一个就只有一个文件。

由于是办公电脑,这种现象很多,请各位高手嘛分析分析,并能解决 可以恢复文件最好,不然那损失就大了,谢谢了~!

注:请不要说参考什么:http://bbs.ikaka.com/showtopic-8600718.aspx  因为这个和我上传的根本就不沾边。还就这个文件是从其它中毒机子COPY到我笔记本上的,所以说这个是一个独立的个体,(中毒的那台机子:它的感染对象不一定,一般是新的文档才会感染,旧的文件扩展名都是正常的)


下面是其它网上帖出来的,和我这个很象,请参考下:

我中了sola病毒,U盘中的WORD文档都成了EXE文件,这些文件很重要我需要找回来。通过网络搜素,找到了件解决方法,让我却遇到了难题。解决方法如下:
病毒的特征是将word文档用rar压缩成了exe文件,并把原word文档和病毒文件打包在这个文件内,病毒体文件为Function.dll——其实也是个rar文件,可重命名为rar文件之后解压,其下的文件为:
┣doc 建立时间:2008-6-9 7:18:56
┃ ┣Function.rar 建立时间:2008-6-9 7:18:56
┃ ┣Function\ 建立时间:2008-6-9 7:19:12
┃ ┃ ┣Autorun.inf 建立时间:2008-6-9 7:19:12
┃ ┃ ┣docpack.dll 建立时间:2008-6-9 7:19:12
┃ ┃ ┣EJPack.txt 建立时间:2008-6-9 7:19:12
┃ ┃ ┣exepack.dll 建立时间:2008-6-9 7:19:12
┃ ┃ ┣infect.bat 建立时间:2008-6-9 7:19:12
┃ ┃ ┣jpgpack.dll 建立时间:2008-6-9 7:19:12
┃ ┃ ┣KillSelf.VBS 建立时间:2008-6-9 7:41:51
┃ ┃ ┣KillVirus.TXT 建立时间:2008-6-9 7:19:12
┃ ┃ ┣LocalScan.bat 建立时间:2008-6-9 7:19:12
┃ ┃ ┣Rar.exe 建立时间:2008-6-9 7:19:12
┃ ┃ ┣readlnk.bat 建立时间:2008-6-9 7:19:12
┃ ┃ ┣RecentInf.bat 建立时间:2008-6-9 7:19:12
┃ ┃ ┣scan.bat 建立时间:2008-6-9 7:19:12
┃ ┃ ┣sleep.exe 建立时间:2008-6-9 7:19:12
┃ ┃ ┣SOLA.BAT 建立时间:2008-6-9 7:19:12
┃ ┃ ┣SolaKiller.rar 建立时间:2008-6-9 7:19:12
┃ ┃ ┣Tasks.xxx 建立时间:2008-6-9 7:19:12
┃ ┃ ┣TDPack.txt 建立时间:2008-6-9 7:19:12
┃ ┃ ┣TENBATSU.BAT 建立时间:2008-6-9 7:19:12
┃ ┃ ┣txtpack.dll 建立时间:2008-6-9 7:19:12
┃ ┃
从中可以看出,病毒会对doc,jpg,txt文件进行操作,其实,操作方式全部为调用win的shell+vb脚本
经过查看批处理代码,可以找到以下解决办法:

注:如果用以下办法杀毒之后发现原来的doc打开均为乱码,(word里会提示 Thisprogram must be run underwin32),则将这个文档的扩展名doc改名为rar,单击右键解压,然后打开文件夹之后会找到所需要的doc文件,记得把剩下的几个隐藏文件删除。
原因:病毒把自己压缩了两次。

=====================================================================

一、找到感染的病毒文件(doc-》exe)
二、安装winrar解压缩软件
三、解压这个exe,可看到function.dll及被改名的doc文件,设置隐藏文件可见,把解压后的function.dll的扩展名改为.rar,解压
四、进入解压后的文件夹(function),解压solakiller.rar 解压密码 kakenhi200601
五、进入solakiller文件夹,运行install.bat
六、开始-运行-sola病毒专杀-solakiller.bat
输入相应字符进行杀毒。

但我解压出来:只有function.dll,没有我原来的文件,继续解压function.dll,提出说:不可预料的文件末端。


回帖请考虑,请不要回一样无聊的,什么DDDDDD,你中毒了从装系统,完了你要装杀毒软件之类的,小弟现在只要找到解决办法,来使文件恢复正常,而你说装系统杀毒,木马我都试了,在网上都GOOGLE 好多,试了都没法,谢谢。

附件附件:

下载次数:534
文件类型:application/octet-stream
文件大小:
上传时间:2009-6-3 11:37:43
描述:rar

最后编辑无事不进RX网 最后编辑于 2009-06-03 12:53:36
分享到:
gototop
 

回复:WORK文件后缀名变成EXE,试了很多都没法解决。急!!!(附件已上传)

中的是worm病毒,需要用杀毒软件全盘查杀来处理的,试试开启显示隐藏文件和系统文件后能否看到word文件,将他们备份到其他地方
gototop
 

回复:WORK文件后缀名变成EXE,试了很多都没法解决。急!!!(附件已上传)

感谢楼下的回复,这里说明一下:

我所上传的二个文件,其中一个可以解压出来并可以得到原文件,只是原文件是 隐藏的。

另外一个,解出来只得到一个 .dll 文件

虽然一般文件可以解压出来,但这个量还是比较大(因为文件太多),请问有没有批量恢复就是解压的方式。还有就是有没有方法可以'毕'免在发生这种象,谢谢~!
最后编辑无事不进RX网 最后编辑于 2009-06-03 13:17:55
gototop
 

回复: WORK文件后缀名变成EXE,试了很多都没法解决。急!!!(附件已上传)

病毒作者已经给出专杀:

给你专杀(已经去掉密码)


附件: Solakiller.rar (2009-6-3 13:21:01, 4.80 K)
该附件被下载次数 1694





解压后运行Install.bat
然后开始菜单-运行-sola病毒专杀-solakiller.bat

只为你恢复了一个文件
那个是个病毒创建的同名文件
建议显示所有文件夹
像我这样设置:
看着这个文件很是紧急
只能恢复一个在这我表示惭愧
恢复的东西在附件,解压密码
mianyang

祝愿灾区同志安好!!!



分析:




这个无法恢复

附件附件:

下载次数:245
文件类型:application/octet-stream
文件大小:
上传时间:2009-6-3 13:03:12
描述:rar

本帖被评分 1 次
最后编辑夲號ヱ被ジ盜 最后编辑于 2009-06-03 13:21:52
gototop
 

回复:WORK文件后缀名变成EXE,试了很多都没法解决。急!!!(附件已上传)

感谢楼上的回复,这里说明一下:

我所上传的二个文件,其中一个可以解压出来并可以得到原文件,只是原文件是 隐藏的。

另外一个,解出来只得到一个 .dll 文件

虽然一般文件可以解压出来,但这个量还是比较大(因为文件太多),请问有没有批量恢复就是解压的方式。还有就是有没有方法可以'毕'免在发生这种象,谢谢~!
gototop
 

回复: WORK文件后缀名变成EXE,试了很多都没法解决。急!!!(附件已上传)

专杀代码:
Install.bat
@echo off
C:
cd ~Install
if exist %systemroot%\system32\SolaScan.bat goto Err
md "%ProgramFiles%\KAKENHI'S"
copy /y ToSystem32\*.* %systemroot%\system32\*.*
copy /y ToProgram\GUICheck.bat "%ProgramFiles%\KAKENHI'S\GUICheck.bat"
md "%USERPROFILE%\「开始」菜单\程序\SOLA病毒专杀"
copy ToProgram\SolaKiller.bat "%USERPROFILE%\「开始」菜单\程序\SOLA病毒专杀\SolaKiller.bat"
echo regpath="%ProgramFiles%\KAKENHI'S\GUICheck.bat %1">C:\regdata.vbs
type %systemroot%\system32\SLAData.dll>>C:\regdata.vbs
cscript C:\regdata.vbs>unl
copy C:\regdata.vbs %systemroot%\system32\regdata.vbs
del C:\regdata.vbs
echo >%systemroot%\assoc.txt
goto End
:Err

:End
cd..
rd /q /s ~Install
exit

CMDCheck.bat

cls
echo ---------正在扫描病毒----------
echo 扫描:"%File%"

set File=%*
if not exist "%file%" goto End
findstr "SOLA_2.0_" "%File%" >nul & if not errorlevel 1 goto KillVirus
goto NomalFile

:KillVirus
echo 发现病毒,正在清除...
md C:\lsfile >nul
C: >nul
cd\ >nul
cd C:\lsfile >nul
copy "%File%" "~Runner.exe" >nul
rar e ~Runner.exe >nul
attrib *.* -s -h -r >nul
del Function.dll >nul
FOR /F "tokens=4 delims=." %%i in ('findstr /c:"set Name=" *.bat') do set type=%%i
for /f "tokens=1 delims=." %%i in ("%File%") do set RealName=%%i.%type%
del *.bat
del *.exe
if exist *.* del "%File%"
if exist *.* type *.*>"%RealName%"
echo %RealName%>>%systemroot%\SOLAResult.txt
cd.. >nul
rd /s /q C:\lsfile >nul

goto End

:NomalFile
:End
cls
echo ---------正在扫描病毒----------
echo 扫描:


SolaScan.bat
@echo off
if not exist %systemroot%\system32\Rar.exe goto ERR2
color 27
for %%i in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do vol %%i:&if errorlevel 0 set %%i=1
if exist %systemroot%\SOLAResult.txt del %systemroot%\SOLAResult.txt
cls
echo ---------正在扫描病毒----------
if exist %systemroot%\SOLAADDRESS.TXT goto SD
if "%C%"=="1" echo 正在获取C盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b C:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
if "%D%"=="1" echo 正在获取D盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b D:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
if "%E%"=="1" echo 正在获取E盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b E:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
if "%F%"=="1" echo 正在获取F盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b F:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
if "%G%"=="1" echo 正在获取G盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b G:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
if "%H%"=="1" echo 正在获取H盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b H:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
if "%I%"=="1" echo 正在获取I盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b I:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
if "%J%"=="1" echo 正在获取J盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b J:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
if "%K%"=="1" echo 正在获取K盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b K:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
if "%L%"=="1" echo 正在获取L盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b L:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
if "%M%"=="1" echo 正在获取M盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b M:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
if "%N%"=="1" echo 正在获取N盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b N:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
if "%O%"=="1" echo 正在获取O盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b O:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
if "%P%"=="1" echo 正在获取P盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b P:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
if "%Q%"=="1" echo 正在获取Q盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b Q:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
if "%R%"=="1" echo 正在获取R盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b R:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
if "%S%"=="1" echo 正在获取S盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b S:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
if "%T%"=="1" echo 正在获取T盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b T:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
if "%U%"=="1" echo 正在获取U盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b U:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
if "%V%"=="1" echo 正在获取V盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b V:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
if "%W%"=="1" echo 正在获取W盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b W:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
if "%X%"=="1" echo 正在获取X盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b X:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
if "%Y%"=="1" echo 正在获取Y盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b Y:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
if "%Z%"=="1" echo 正在获取Z盘的文件目录...&FOR /F "delims=" %%i in ('dir /s /b Z:\*.exe') do call %systemroot%\system32\CMDCheck.bat %%i
goto Result
:SD
FOR /F "delims=" %%i in (%systemroot%\SOLAADDRESS.TXT) do echo 正在获取"%%i"中的文件目录...&FOR /F "delims=" %%j in ('dir /s /b %%i\*.exe') do call %systemroot%\system32\CMDCheck.bat %%j
goto Result

:Result
if not exist %systemroot%\SOLAResult.txt goto ERR1
echo 本次扫描在如下文件中发现病毒并清除
type %systemroot%\SOLAResult.txt
pause>nul
goto End
:Err1
cls
echo 本次扫描未发现病毒。
pause>nul
goto End
:Err2
color 47
echo 找不到RAR.EXE,因此此程序无法正常工作。
Pause>nul
:End


GUICheck.bat
@echo off
set File=%*
if not exist "%File%" goto End
attrib "%File%" -s -h -r >nul

if exist C:\lsfile goto Klsfile >nul
goto start >nul

:Klsfile
attrib C:\lsfile\* -s -h -r >nul

rd /s /q C:\lsfile >nul
:Start
findstr "SOLA_2.0_" "%File%" >nul & if not errorlevel 1 goto KillVirus
goto NomalFile

:KillVirus
echo ======清除病毒======
echo 请稍等...
color 27

md C:\lsfile >nul
C: >nul
cd\ >nul
cd C:\lsfile >nul
copy "%File%" "~Runner.exe" >nul
rar e ~Runner.exe >nul
attrib *.* -s -h -r >nul
del Function.dll >nul
FOR /F "tokens=4 delims=." %%i in ('findstr /c:"set Name=" *.bat') do set type=%%i
for /f "tokens=1 delims=." %%i in ("%File%") do set RealName=%%i.%type%
del *.bat
del *.exe
if exist *.* del %File%
if exist *.* type *.*>%RealName%

cd.. >nul
rd /s /q C:\lsfile >nul
echo %RealName%
echo 此文件中病毒已被清除。
sleep 2000
goto End

:NomalFile
color 17
echo %File%
echo 此文件未被感染。
sleep 2000

:End

Main
SolaKiller.bat
gototop
 

回复: WORK文件后缀名变成EXE,试了很多都没法解决。急!!!(附件已上传)

你把那个DLL改为RAR后解压到一个文件夹
找到solakiller.rar解压
密码为
kakenhi200601
然后运行install.bat
然后运行solakiller.bat
gototop
 

回复:WORK文件后缀名变成EXE,试了很多都没法解决。急!!!(附件已上传)

这个方法用了的,它提示:

[img]file:///C:/Documents%20and%20Settings/Administrator/桌面/未命名.bmp[/img]
最后编辑无事不进RX网 最后编辑于 2009-06-03 13:37:58
gototop
 

回复:WORK文件后缀名变成EXE,试了很多都没法解决。急!!!(附件已上传)

什么?
gototop
 

回复:WORK文件后缀名变成EXE,试了很多都没法解决。急!!!(附件已上传)

这个方法用了的,它提示:

找不到 RAR.EXE,所以本程序无法工作

我这是在笔记本上,中毒那个没执行操作


现在可以用那个SolaKiller.bat 进行查杀了,要是选第二个查杀,他就把文件给直接DEL了啊。有些文件扩展名是改回DOC了,可打开什么内容都没有啊
最后编辑无事不进RX网 最后编辑于 2009-06-03 13:50:52
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT