Модератор: Ural

Вирусный отчет

СООБЩЕНИЯ

# 

8 фев 2011, 00:37 

Сегодня столкнулся с новым для себя вирусом. Пришел к знакомым компьютер настроить, вставил свою флешку, на ней начали исчезать папки и появляться exe'шники с названиями папок. На компьютере был установлен Eset NOD32 v4.0.467.0, я обновил его, просканировал флешку, он ничего не нашел. Если запустить файл с названием папки и расширением exe, то отрывается проводник и видно, что находится в папке. Удаляю NOD32 устанавливаю KAV (Kaspersky AntiVirus 11.0.1.400 CF1) сканирую флешку, KAV находит вирусы и удаляет их. На флешки остаются только файлы, которые лежали в корневом каталоге. Использовать программы для восстановления данных бесполезно. Попробовал R-Studio и TestDisk. Если KAV'ом сканировать якобы пустую флешку, то он при проверки проверяет все каталоги которые там были. :) Немного покопался и нашел решение.
Как исправить
"Пуск" -> "Выполнить" -> CMD [нажать Enter]
Набрать "dir /x" [нажать Enter]
Посмотреть, как отображается это имя (вероятнее всего как E2E2~1).
Потом здесь же
"ren E2E2~1 NewFolder"
Например. Если ваша флешка имеет букву "E", тогда процесс выглядит так:
Пуск -> Выполнить -> cmd -> OK
Далее в черном окошке необходимо поочередно вводить команды, после каждой команды нажимая клавишу Enter:
1) e:
2) dir /x
Первая команда делает диск Е активным. Если буква носителя отличается, вместо Е перед двоеточием указывайте вашу букву.
Вторая команда отображает список папок и файлов на носителе. Если в списке присутствует E2E2~1, выполните команду, которая переименует папку:
3) ren E2E2~1 NewFolder
После этого в проводнике должна появиться папка NewFolder. Вместо NewFolder можете указать другое название папки, по желанию.

HELP!!! С флешки пропали папки!
Каталог E2E2~1
Аватара пользователя
msshveikin
 
Сообщения: 4711
Изображения: 24
Зарегистрирован: Пт 15 июн 2007, 09:44
Откуда: Тихое Зимовье

# 

8 фев 2011, 01:12 

NOD32 последний это NOD32 v4.2. У надо особенность, что он является лучшим, если только он обновляется ежедневно и версия всегда актуальная. :)
Аватара пользователя
Hak
 
Сообщения: 708
Зарегистрирован: Вт 31 июл 2007, 11:36
Откуда: Russia

# 

8 фев 2011, 01:13 

msshveikin
Не понял ничего, а нельзя зайти в тотале и переименовать скрытые папки, которые скрыл вирус???
Аватара пользователя
Hak
 
Сообщения: 708
Зарегистрирован: Вт 31 июл 2007, 11:36
Откуда: Russia

# 

8 фев 2011, 13:04 

msshveikin
Я этот вирус уже года 2-3 назад видел. Если компьютер уже заражен вирусом, то сколько не переставляй и не обновляй антивирусник он ничего не сможет сделать с вирусом.
По-поводу папок и даннных. Этот вирус вроде делает оригинальную папку скрытой, а вместо нее создает файл "название папки.ехе".
Данные на флешке восстанавливались просто. Надо было вставить флешку на незараженный компьютер. Удалить все файлы типа "название папки.ехе", удалить (или очистить) папку RECYCLER (вроде там вирус живет), удалить файл autorun.inf. Ну и сделать все скрытые папки видимыми.
Кстати по поводу autorun.inf. Я на всех флешках создаю ПАПКУ с именем "autorun.inf". Это предотвращает запуск всяких вирусов с флешек, если они туда проникнут, т.к. наличие ПАПКИ autorun.inf не дает возможность создать ФАЙЛ autorun.inf. Так что можно не бояться, что занесешь вирус с чужого компа на свой, через флешку (или наоборот :D ).
Аватара пользователя
antoshka_su
 
Сообщения: 261
Изображения: 4
Зарегистрирован: Чт 02 сен 2010, 10:48

# 

8 фев 2011, 16:28 

antoshka_su писал(а):наличие ПАПКИ autorun.inf не дает возможность создать ФАЙЛ autorun.inf.


Файл и папка - суть одно и то же.
Аватара пользователя
Ant
 
Изображение
Сообщения: 1108
Зарегистрирован: Пн 27 авг 2007, 20:09

# 

8 фев 2011, 17:30 

Hak писал(а):Не понял ничего, а нельзя зайти в тотале и переименовать скрытые папки, которые скрыл вирус???

Можно было бы даже в проводнике переименовать, если бы всё было так просто. На самом деле дело в следующем:
lik7 писал(а):все советы фигня против этого вируса у меня такая же проблема была пробовал восстанавливать всяких там undelete, unerase, recovery они восстанавливают старые папки и файлы как бы до их изменения я нашел решение сайте касперского
"на самом деле данный вирус очень оригинально прячет файлы на флешке… файлы никуда не деваются, и нет никаких скрытых папок, а всего лишь создается папка с именем ".."(да, именно две точки), в которой и лежит все содержимое флешки… само собой, эту папку не видно нигде… кроме команды dir, там ее видно, но зайти в нее само собой не получается, сами понимаете… а зайти туда можно, поглядев короткое имя данной папки командой "dir /X", потом переименовать ее по короткому имени , например "ren E2E2~1 NewName" и пользовать как обычно"
http://www.commix.ru/forum/virus/help-s-fleshki-propali-papki
Аватара пользователя
a_glow
 
Good Luck!
Сообщения: 2074
Изображения: 44
Зарегистрирован: Вс 19 авг 2007, 12:35
Откуда: кыштымский

# 

8 фев 2011, 18:07 

У меня недавно тоже оказия приключилась. До сих пор не понял каким образом это произошло...

Проявилось она прежде всего тем, что интернет начал медленнее работать, несмотря на скорость соединения. Некоторые сайты вообще перестали открываться, в частности "мой мир", тогда как просто майл.ру открывался. ВКонтакте заметил странные баннеры, ведущие на левый сайт с адресом 83.х.х.х и предлагающие скачать троян под видом "VIP mail agent", причём баннеры эти показывались вперемешку с обычной рекламой. Ещё на подставной майл.ру ссылки вели.......
Чем я только комп не шерстил - ничего особо подозрительного. Причём с нетбука из-под win7 и linux тоже эти баннеры показывались, и в разных браузерах, в т.ч. свежеустановленных.
Я уж было плюнул, но тут заметил, что если зайти в инет через 3G модем, то левых баннеров нет и "мой мир" открывается. Начал пинговать my.mail.ru через 3G пингуется, а через ADSL+Wi-Fi нет. Просто mail.ru пингуется и там и там, но даёт разные IP-адреса. Стал смотреть DNS - оказалось, что в ADSL-модеме прописаны левые DNS-сервера, которые он добросовестно раздавал по DHCP на остальные устройства. Я обычно всегда прописываю сурнетовские сервера, но тут засомневался. Прописал ещё раз, сохранил.
Всё заработало, как должно. Но! Через 3-4 недели ситуация повторилась! Теперь я знал куда смотреть, но так и не понял каким образом DNS опять поменялись. Пароль на модеме у меня нестандартный хоть и простой, управление извне закрыто. Получается либо дыра в прошивке, либо какой-то редиска с внутреннего компа их поменял (у меня обычно в браузере на одной из закладок страница настроек модема открыта). Но никто из моих домашних на такое не способен, посторонних тоже не было.

То есть дыра осталась и локализовать её я пока не могу. Может у кого из присутствующих были подобные симптомы?
Отпишитесь плиз!
Аватара пользователя
a_glow
 
Good Luck!
Сообщения: 2074
Изображения: 44
Зарегистрирован: Вс 19 авг 2007, 12:35
Откуда: кыштымский

# 

8 фев 2011, 19:42 

Меняй пароль на модеме.
Аватара пользователя
Hak
 
Сообщения: 708
Зарегистрирован: Вт 31 июл 2007, 11:36
Откуда: Russia

# 

8 фев 2011, 20:59 

antoshka_su
Это не тот вирус, который был у тебя, папки не скрыты, их вообще не видно. Читайте по ссылкам!
Только для FAT32, ОС Windows 98/МЕ/2000/2003/ХР
Иногда сканер Dr.Web® при подготовке к сканированию безнадежно зависает, причем в строке статуса выводится текст "Подготовка сканирования - C:\каталог\_далее_каталоги_", постепенно каталоги оказываются вложенными, т.е. выводится сообщение: "Подготовка сканирования - C:\..\..\..\каталог\_далее_каталоги_" и так далее, пока процесс сканера не будет аварийно завершен пользователем.

Путем разбора полетов на форуме была установлена причина -- наличие на сканируемом диске каталога E2E2~1.
Данный каталог не виден в проводнике Windows. Вот краткая инструкция по его обнаружению и устранению (вы должны работать с правами администратора):
Введите в командной строке:
dir C:\ /N /X >Log.txt
если в отчете (С:\Log.txt) будут строки вида:
Содержимое диска С:\
<...>
14.09.2007 00:19 <DIR> E2E2~1 ..
<...>
тогда необходимо ввести в командной строке:
rd \E2E2~1

Повторить для каждого имеющегося диска (раздела).
Зависание сканера должно исчезнуть.
К сожалению, пока неизвестно, кто или что порождает этот самый каталог E2E2~1 на дисках пользователей.
Удалось установить, что созданием каталога с таким названием занимались китайские "экспериментаторы". Они преследовали цель создать на диске каталог, невидимый для антивирусов, тогда, поместив в такой каталог вредоносную программу, возможно получить неубиваемый вирус. Почему E2E2~1 невидим в проводнике? Очередная ошибка компании Microsoft. На запросы в компанию по данному поводу вразумительного ответа мы не получили. Также установлено, что E2E2~1 невидим только на файловой системе FAT32.
Данный каталог возможно обнаружить при загрузке в MS-DOS. Вполне правильно в Windows XP® в DOS-сессии этот каталог отображается старенькой версией VC (Volkov Commander 4.99)
Для относительно новой NTFS (используется на выбор в XP и по умолчанию в Vista) каталог E2E2~1 не страшен, но уже известны случаи "неубиваемых папок" на NTFS с другим названием (обычно с двумя точками -- ..)
На данный момент ревизор ADinf32 обнаруживает создание каталога E2E2~1.
Рекомендуется использование комплексных мер (связка файрвол+ДрВеб+Адинф) для наиболее полной защиты компьютера пользователя.
Как исправить
"Пуск" -> "Выполнить" -> CMD [нажать Enter]
Набрать "dir /x" [нажать Enter]
Посмотреть, как отображается это имя (вероятнее всего как E2E2~1).
Потом здесь же
"ren E2E2~1 NewFolder"
Аватара пользователя
msshveikin
 
Сообщения: 4711
Изображения: 24
Зарегистрирован: Пт 15 июн 2007, 09:44
Откуда: Тихое Зимовье

# 

8 фев 2011, 21:03 

a_glow
От тебя в моем мире идут какие то фишинговые ссылки
Аватара пользователя
msshveikin
 
Сообщения: 4711
Изображения: 24
Зарегистрирован: Пт 15 июн 2007, 09:44
Откуда: Тихое Зимовье

# 

8 фев 2011, 21:22 

Hak писал(а):Меняй пароль на модеме.
Это конечно выход, но тогда я никогда не узнаю причину явления и это не спортивно :)

msshveikin писал(а):От тебя в моем мире идут какие то фишинговые ссылки
Угу, там я пароль уже поменял и думаю: не следствие ли это вышеописанного?
Аватара пользователя
a_glow
 
Good Luck!
Сообщения: 2074
Изображения: 44
Зарегистрирован: Вс 19 авг 2007, 12:35
Откуда: кыштымский

# 

9 фев 2011, 01:28 

a_glow
Как это не узнаешь, если пароль сменишь и всё будет нормально работать значит твой модем просто напросто хакнули.
Аватара пользователя
Hak
 
Сообщения: 708
Зарегистрирован: Вт 31 июл 2007, 11:36
Откуда: Russia

# 

9 фев 2011, 10:16 

a_glow писал(а):Пароль на модеме у меня нестандартный хоть и простой, управление извне закрыто.


Сколько символов в пароле? Брутфорс никто не отменял.
Хотя если управление извне закрыто - смысла в нем нет...
В то, что жена у тебя по ночам крадется к компу, залазит на модем и меняет DNS для DHCP на левые - Я слабо верю (точнее говоря - совсем не верю :) ), управление снаружи закрыто... ИМХО - единственный вариант - дырка в прошивке.
Аватара пользователя
Ant
 
Изображение
Сообщения: 1108
Зарегистрирован: Пн 27 авг 2007, 20:09

# 

9 фев 2011, 20:37 

Аватара пользователя
msshveikin
 
Сообщения: 4711
Изображения: 24
Зарегистрирован: Пт 15 июн 2007, 09:44
Откуда: Тихое Зимовье

# 

10 фев 2011, 01:11 

Ant писал(а):Сколько символов в пароле? Брутфорс никто не отменял. Хотя если управление извне закрыто - смысла в нем нет...
Было 6 букв. Извиняюсь за дезинформацию, был открыт наружу ssh, только ведь УСИ на порты ниже 1024 всё равно не пускает :unknown:

Так я один такой? Попингуйте mail.ru и my.mail.ru IP должны начинаться с 94.100.х.х, если с 83.х.х.х или 212.х.х.х, то у вас та же проблема.
Аватара пользователя
a_glow
 
Good Luck!
Сообщения: 2074
Изображения: 44
Зарегистрирован: Вс 19 авг 2007, 12:35
Откуда: кыштымский

НАПИСАТЬ ОТВЕТ

   Новые сообщения Новые сообщения    Нет новых сообщений Нет новых сообщений    Форум закрыт Форум закрыт   
cron