Tiodor
offline
Опыт:
75,784Активность: |
Вирус с флешки
Ну ясное дело с флешкой поступило много чего интересного.
Все папки распознаются как приложения с весом 538кб, выглядит вот так: скриншот Но тем не менее, все открывается нормально. Проблемы только с папками. При открытии папок нод ругается о заражении. При сканировании флешки находило там дофига разных файлов в 2х папках и папку recycler, но как вирус не распознавало. Собственно сканировал дк.вебом., сканировал Malwarebytes Anti-Malware и USB disc-security, ничего не обнаружили. Нод показал, что все папки инфицированы и их следует удалить. Скрытые папки не находит. Задача: Избавиться от вира без потери информации. |
12.01.2012, 00:27 | #1
+0/−0
Профиль |
Приват |
Поиск |
Цитата |
IP: Записан
|
Hancock
Ding Dong
offline
Опыт:
5,866Активность: |
Папки остались на флешке, просто они скрыты, можешь через тотал кмд глянуть флэху.
Вопрос в том, что это походу тот вирус, который ещё и блокирует кнопку показа скрытых файлов. http://jenyay.net/blog/2011/05/24/pro-virus-aadrive32-exe/ http://www.spyware-ru.com/hidden-files/ Вроде вот оно |
12.01.2012, 00:35 | #2
+2/−0
Профиль |
Приват |
Поиск |
Цитата |
IP: Записан
|
Cheezie
Cheezie
offline
Опыт:
8,470Активность: |
был похожий вирус, он папки кидал в папку с именем ".." которая находилась в корне, а заместо них создавал екзешники |
12.01.2012, 00:37 | #3
+0/−0
Профиль |
Приват |
Поиск |
Цитата |
IP: Записан
|
Tiodor
offline
Опыт:
75,784Активность: |
Hancock, дык... все папки на скриншоте есть и они открываются
скрыты только папки с вирусом, то что они там есть и так ясно Tiodor добавил:
высказывания нода по поводу открытия одной из папок Tiodor добавил: офк у всех папок расширение .exe |
12.01.2012, 01:06 | #4
+0/−0
Профиль |
Приват |
Поиск |
Цитата |
IP: Записан
|
Master_chan
Полуночный командир
offline
Опыт:
15,660Активность: |
Как?._. |
12.01.2012, 01:09 | #5
+0/−0
Профиль |
Приват |
Поиск |
Цитата |
IP: Записан
|
Tiodor
offline
Опыт:
75,784Активность: |
ну эт не меня спрашивать надо... можно открыть все папки, но с последствием какое на скрине выше |
12.01.2012, 01:11 | #6
+0/−0
Профиль |
Приват |
Поиск |
Цитата |
IP: Записан
|
Hancock
Ding Dong
offline
Опыт:
5,866Активность: |
В общем я не понял ничо, но суть в том, что у меня лично был вариант вируса, где оригиналы папок были скрыты, а вместо них появлялись эксешники, но их открыть соответственно не мог.
Но эксе имело вид папок, с первого взгляда я бы и не понял конечно. Для удаления вируса я как всегда скачал куреит и прогнал им в безопасном режиме. Что очень важно - рециклер оседает не только на флэшке, но и на локальных дисках и повторно заражает все остальные флешки, подсоединяемые к компу, поэтому нужно вычещать корни всех дисков... Но если вы говрите что ваш софт ничег оне находит, то мб это новая версич, даж не знаю. |
12.01.2012, 01:13 | #7
+0/−0
Профиль |
Приват |
Поиск |
Цитата |
IP: Записан
|
Master_chan
Полуночный командир
offline
Опыт:
15,660Активность: |
Возможно все "истинные" папки просто скрыты, *.exe просто делает запрос на их открытие + нехороший код? Отобрази скрытые файлы что-ли. |
12.01.2012, 01:13 | #8
+0/−0
Профиль |
Приват |
Поиск |
Цитата |
IP: Записан
|
KINGGOLDrus
offline
Опыт:
2,941Активность: |
Если не удаётся убрать галку в "свойства папки->вид->Скрывать системные файлы", то зайди в безопасный режим. В меню пуск зайди в "Выполнить". Там в текстовом окне впиши regedit. Откроешь редактор реестра. Далее в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced найди Hidden и поставь тип REG_DWORD, а значение 1 в шестнадцатеричной системе. То же самое сделай с SuperHidden. Пройди в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL. CheckedValue тоже сделай REG_DWORD'ом со значением 1. После перезагрузки зайди на флешку, удали странные экзешники с флешки (Экзешники с названиями папок, Recycled.exe, aqjbakuy.exe, explorer.exe...). Файл Autorun.inf сделай пустым. Сделай нужные скрытые папки видимыми |
12.01.2012, 01:28 | #9
+0/−0
Профиль |
Приват |
Поиск |
Цитата |
IP: Записан
|
Tiodor
offline
Опыт:
75,784Активность: |
почему всем кажется, что нужные файлы для меня скрытые о_О
все на виду, только вот вирус сидит и не удаляется отображение скрытых файлов не помог ну вернее стала отображаться папка RECYCLER Tiodor добавил: есть идея или не сработает откат системы? |
12.01.2012, 01:45 | #10
+0/−0
Профиль |
Приват |
Поиск |
Цитата |
IP: Записан
|
Ferox
Дело - дрянь
offline
Опыт:
11,273Активность: |
Tiodor, у мя такое уже 100500 раз было -_- Обычно помогал антивирус. До этого фигачил отображение скрытых файлов и всё отображалось, хз что у тебя там. |
12.01.2012, 01:48 | #11
+0/−0
Профиль |
Приват |
Поиск |
Цитата |
IP: Записан
|
Tiodor
offline
Опыт:
75,784Активность: |
у меня там win7 _@ |
12.01.2012, 01:49 | #12
+0/−0
Профиль |
Приват |
Поиск |
Цитата |
IP: Записан
|
Vellear
ху, ху, хуорн!
offline
Опыт:
16,688Активность: |
Master_chan:
берем екзешник, ставим ему иконку папки, и название предыдущей папки, саму же папочку выпилываем, в некоторых операционках стоит флажок "скрывать известные форматы" тобишь у половины эти екзешники даже не вызовут подозрения пока те их не запустят, или не заметят что описание обьекта "исполнительный екзе файл". вместо "папка с файлами" Burn to shadow добавил:
а вообще да... лол, впервые про это слышу, куриная логика хакера против еще более куриной логики юзера, тех кто может даже не заметить разницы между еэкзешкой и файлом, правда таких поди %ов 10 Burn to shadow добавил:
хотя может я и не прав, но тогда тоже бред, поидее не может папка сохранить функционал(типо свойства папки и.т.д) одновременно являясь екзешником. Burn to shadow добавил: рекуклер это я насколько помню системная папка скрываемая по дефолту, если не врет память то она выполняет роль корзины для удаленных файлов, но как правило только на жестком диске, то что папка на флешке, это либо я совок и давно флехами не пользовался, либо туда были удалены вирусом твои данные, когда он подменял папки на муляжи - екзешники |
12.01.2012, 02:05 | #13
+0/−0
Профиль |
Приват |
Поиск |
Цитата |
IP: Записан
|
Tiodor
offline
Опыт:
75,784Активность: |
тем не менее расширение ехе и кст. как можно было заметить если папки показаны такими как на скрине в первом посте... Tiodor добавил:
дык, все файлы на местах только когда что-то делаю с папками выскакивает от нода предупреждение, что в четвертом посте |
12.01.2012, 02:09 | #14
+0/−0
Профиль |
Приват |
Поиск |
Цитата |
IP: Записан
|
Vellear
ху, ху, хуорн!
offline
Опыт:
16,688Активность: |
если к примеру поменять сортировку по форме "Вид", то все папки выстроятся в колонку мелкими иконками, и там точно заметно не будет. К тому с ростом числа ПК многократно выросло число тех кто не шарит, кому поставили операционку, дрова, настроили антивирус и дальше они хлопая глазами пользуется, кроме вконтакта не чем не пользуются и.т.п, если что то и устанавливают, то тыкают лишь кнопочку "далее" не читая того что спрашивают. Встречался с такими людями лично, да и флешками щас вообщем то реже пользуются те кто имеет интернет, с них в основном операционки щас ставят да биосы перепрошивают на ноутбуках, еще иногда хранят как резервное хранилище ценных данных.
Burn to shadow добавил:
вообще поидее у большинства крупных антивирусов типо кава или нода есть свои библиотеки вирусов, прописываешь название вируса в гугле и он выводит тебя на библиотеку, если вирус толстый и многократно уже палился, то о нем чаще всего составляют характеристику, что он делает, какой алгоритм и.т.п Burn to shadow добавил:
у касперского ничего по вирусу нет, но есть общее описание группы пирусов (справа) |
12.01.2012, 02:16 | #15
+0/−0
Профиль |
Приват |
Поиск |
Цитата |
IP: Записан
|
Tiodor
offline
Опыт:
75,784Активность: |
Burn_to_shadow, я рад твоему потоку сознания но можно и помочь название вируса никак не вписать, так как на флешке его пока никто не находит |
12.01.2012, 02:16 | #16
+0/−0
Профиль |
Приват |
Поиск |
Цитата |
IP: Записан
|
Vellear
ху, ху, хуорн!
offline
Опыт:
16,688Активность: |
на этот счет есть специальный софт
Burn to shadow добавил:
первое что с гугла пришло, т.к таких ремоверов куча вообще можно попробовать в безопасном режиме полностью проверить флешку
Burn to shadow добавил: если размер данных(общий) на флешке велик, ну метров 200 допустим, а сами екзешники(псевдопапки) весят по 0.5 мб, то явно что он просто перенес данные(и все папки которые нод счел заражеными можно грохнуть), если меньше обычного, значит он их всех удалил и парится на этот счет не стоит. |
12.01.2012, 02:25 | #17
+0/−0
Профиль |
Приват |
Поиск |
Цитата |
IP: Записан
|
iZucken
ШТО
offline
Опыт:
17,960Активность: |
Ты пишеш "папки работают все на месте просто у них расширение .ехе"
Это же смешно просто =) Содержимое папок находится где то на флешке, например в RECYCLER, а екзешники которые ты запускаеш просто открывают те папки, тоесть сами они ничего не содержат кроме вредоносного кода =) У нас по общаге такая штука долго гуляла, не опасна если не работает автозапуск и не включать эти псевдо-папки.ехе Только немного другого вида, папка делалась скрытой, а вместо неё создавался файл "Имя папки [много пробелов] .ехе", у тебя видать чутка хитрее. Между тем на нее почти все студенты попадаются, ужас _о Ты проверял содержимое папки RECYCLER ? Твои настоящие данные скорее всего там. Еще между тем кроме "скрытых файлов" есть еще и системные и т.п. желательно включать отображение всех. Ах ну и да, если ты открывал эти папки-экзешники, то твой комп уже заражен и ты любую флешку с папками будеш превращать в подобный цирк.
Как лечить не скажу но данные свои ты вытащить можеш. |
12.01.2012, 02:46 | #18
+0/−0
Профиль |
Приват |
Поиск |
Цитата |
IP: Записан
|
zumm
Тёртый Хрен
offline
Опыт:
6,335Активность: |
Tiodor, удали всё левое из авто запуска, чтобы не инфецировались новые файлы. Потом устанавливай аваст и им лечи свой комп (хз как, но друг как то делал). |
12.01.2012, 02:46 | #19
+0/−0
Профиль |
Приват |
Поиск |
Цитата |
IP: Записан
|
Tiodor
offline
Опыт:
75,784Активность: |
Q_w_e_r_t_y, зашел через безопасный режим, там открыл все скрытые файлы. Все папки есть, скрыты.
Так же были папки: found.000 и до 005, в которых были файлы file0000 от 0000 до 9999, весом в 4 кб... вроде удалил но теперь без конца появляются файлы на компе уже, без флешки *.tmp разных названий с вирусом win32/autoit.FL worm Tiodor добавил: похоже я все ближе к решению проблемы... |
12.01.2012, 03:00 | #20
+0/−0
Профиль |
Приват |
Поиск |
Цитата |
IP: Записан
|