Модератор: Ural
Вирусный отчет
Сегодня столкнулся с новым для себя вирусом. Пришел к знакомым компьютер настроить, вставил свою флешку, на ней начали исчезать папки и появляться exe'шники с названиями папок. На компьютере был установлен Eset NOD32 v4.0.467.0, я обновил его, просканировал флешку, он ничего не нашел. Если запустить файл с названием папки и расширением exe, то отрывается проводник и видно, что находится в папке. Удаляю NOD32 устанавливаю KAV (Kaspersky AntiVirus 11.0.1.400 CF1) сканирую флешку, KAV находит вирусы и удаляет их. На флешки остаются только файлы, которые лежали в корневом каталоге. Использовать программы для восстановления данных бесполезно. Попробовал R-Studio и TestDisk. Если KAV'ом сканировать якобы пустую флешку, то он при проверки проверяет все каталоги которые там были. Немного покопался и нашел решение.
Например. Если ваша флешка имеет букву "E", тогда процесс выглядит так:Как исправить
"Пуск" -> "Выполнить" -> CMD [нажать Enter]
Набрать "dir /x" [нажать Enter]
Посмотреть, как отображается это имя (вероятнее всего как E2E2~1).
Потом здесь же
"ren E2E2~1 NewFolder"
Пуск -> Выполнить -> cmd -> OK
Далее в черном окошке необходимо поочередно вводить команды, после каждой команды нажимая клавишу Enter:
1) e:
2) dir /x
Первая команда делает диск Е активным. Если буква носителя отличается, вместо Е перед двоеточием указывайте вашу букву.
Вторая команда отображает список папок и файлов на носителе. Если в списке присутствует E2E2~1, выполните команду, которая переименует папку:
3) ren E2E2~1 NewFolder
После этого в проводнике должна появиться папка NewFolder. Вместо NewFolder можете указать другое название папки, по желанию.
HELP!!! С флешки пропали папки!
Каталог E2E2~1
-
msshveikin - Сообщения: 4711
- Изображения: 24
- Зарегистрирован: Пт 15 июн 2007, 09:44
- Откуда: Тихое Зимовье
NOD32 последний это NOD32 v4.2. У надо особенность, что он является лучшим, если только он обновляется ежедневно и версия всегда актуальная.
-
Hak - Сообщения: 708
- Зарегистрирован: Вт 31 июл 2007, 11:36
- Откуда: Russia
msshveikin
Не понял ничего, а нельзя зайти в тотале и переименовать скрытые папки, которые скрыл вирус???
Не понял ничего, а нельзя зайти в тотале и переименовать скрытые папки, которые скрыл вирус???
-
Hak - Сообщения: 708
- Зарегистрирован: Вт 31 июл 2007, 11:36
- Откуда: Russia
msshveikin
Я этот вирус уже года 2-3 назад видел. Если компьютер уже заражен вирусом, то сколько не переставляй и не обновляй антивирусник он ничего не сможет сделать с вирусом.
По-поводу папок и даннных. Этот вирус вроде делает оригинальную папку скрытой, а вместо нее создает файл "название папки.ехе".
Данные на флешке восстанавливались просто. Надо было вставить флешку на незараженный компьютер. Удалить все файлы типа "название папки.ехе", удалить (или очистить) папку RECYCLER (вроде там вирус живет), удалить файл autorun.inf. Ну и сделать все скрытые папки видимыми.
Кстати по поводу autorun.inf. Я на всех флешках создаю ПАПКУ с именем "autorun.inf". Это предотвращает запуск всяких вирусов с флешек, если они туда проникнут, т.к. наличие ПАПКИ autorun.inf не дает возможность создать ФАЙЛ autorun.inf. Так что можно не бояться, что занесешь вирус с чужого компа на свой, через флешку (или наоборот ).
Я этот вирус уже года 2-3 назад видел. Если компьютер уже заражен вирусом, то сколько не переставляй и не обновляй антивирусник он ничего не сможет сделать с вирусом.
По-поводу папок и даннных. Этот вирус вроде делает оригинальную папку скрытой, а вместо нее создает файл "название папки.ехе".
Данные на флешке восстанавливались просто. Надо было вставить флешку на незараженный компьютер. Удалить все файлы типа "название папки.ехе", удалить (или очистить) папку RECYCLER (вроде там вирус живет), удалить файл autorun.inf. Ну и сделать все скрытые папки видимыми.
Кстати по поводу autorun.inf. Я на всех флешках создаю ПАПКУ с именем "autorun.inf". Это предотвращает запуск всяких вирусов с флешек, если они туда проникнут, т.к. наличие ПАПКИ autorun.inf не дает возможность создать ФАЙЛ autorun.inf. Так что можно не бояться, что занесешь вирус с чужого компа на свой, через флешку (или наоборот ).
-
antoshka_su - Сообщения: 261
- Изображения: 4
- Зарегистрирован: Чт 02 сен 2010, 10:48
antoshka_su писал(а):наличие ПАПКИ autorun.inf не дает возможность создать ФАЙЛ autorun.inf.
Файл и папка - суть одно и то же.
-
Ant - Сообщения: 1108
- Зарегистрирован: Пн 27 авг 2007, 20:09
Hak писал(а):Не понял ничего, а нельзя зайти в тотале и переименовать скрытые папки, которые скрыл вирус???
Можно было бы даже в проводнике переименовать, если бы всё было так просто. На самом деле дело в следующем:
lik7 писал(а):все советы фигня против этого вируса у меня такая же проблема была пробовал восстанавливать всяких там undelete, unerase, recovery они восстанавливают старые папки и файлы как бы до их изменения я нашел решение сайте касперского
"на самом деле данный вирус очень оригинально прячет файлы на флешке… файлы никуда не деваются, и нет никаких скрытых папок, а всего лишь создается папка с именем ".."(да, именно две точки), в которой и лежит все содержимое флешки… само собой, эту папку не видно нигде… кроме команды dir, там ее видно, но зайти в нее само собой не получается, сами понимаете… а зайти туда можно, поглядев короткое имя данной папки командой "dir /X", потом переименовать ее по короткому имени , например "ren E2E2~1 NewName" и пользовать как обычно"
http://www.commix.ru/forum/virus/help-s-fleshki-propali-papki
-
a_glow - Сообщения: 2074
- Изображения: 44
- Зарегистрирован: Вс 19 авг 2007, 12:35
- Откуда: кыштымский
Good Luck!
У меня недавно тоже оказия приключилась. До сих пор не понял каким образом это произошло...
Проявилось она прежде всего тем, что интернет начал медленнее работать, несмотря на скорость соединения. Некоторые сайты вообще перестали открываться, в частности "мой мир", тогда как просто майл.ру открывался. ВКонтакте заметил странные баннеры, ведущие на левый сайт с адресом 83.х.х.х и предлагающие скачать троян под видом "VIP mail agent", причём баннеры эти показывались вперемешку с обычной рекламой. Ещё на подставной майл.ру ссылки вели.......
Чем я только комп не шерстил - ничего особо подозрительного. Причём с нетбука из-под win7 и linux тоже эти баннеры показывались, и в разных браузерах, в т.ч. свежеустановленных.
Я уж было плюнул, но тут заметил, что если зайти в инет через 3G модем, то левых баннеров нет и "мой мир" открывается. Начал пинговать my.mail.ru через 3G пингуется, а через ADSL+Wi-Fi нет. Просто mail.ru пингуется и там и там, но даёт разные IP-адреса. Стал смотреть DNS - оказалось, что в ADSL-модеме прописаны левые DNS-сервера, которые он добросовестно раздавал по DHCP на остальные устройства. Я обычно всегда прописываю сурнетовские сервера, но тут засомневался. Прописал ещё раз, сохранил.
Всё заработало, как должно. Но! Через 3-4 недели ситуация повторилась! Теперь я знал куда смотреть, но так и не понял каким образом DNS опять поменялись. Пароль на модеме у меня нестандартный хоть и простой, управление извне закрыто. Получается либо дыра в прошивке, либо какой-то редиска с внутреннего компа их поменял (у меня обычно в браузере на одной из закладок страница настроек модема открыта). Но никто из моих домашних на такое не способен, посторонних тоже не было.
То есть дыра осталась и локализовать её я пока не могу. Может у кого из присутствующих были подобные симптомы?
Отпишитесь плиз!
Проявилось она прежде всего тем, что интернет начал медленнее работать, несмотря на скорость соединения. Некоторые сайты вообще перестали открываться, в частности "мой мир", тогда как просто майл.ру открывался. ВКонтакте заметил странные баннеры, ведущие на левый сайт с адресом 83.х.х.х и предлагающие скачать троян под видом "VIP mail agent", причём баннеры эти показывались вперемешку с обычной рекламой. Ещё на подставной майл.ру ссылки вели.......
Чем я только комп не шерстил - ничего особо подозрительного. Причём с нетбука из-под win7 и linux тоже эти баннеры показывались, и в разных браузерах, в т.ч. свежеустановленных.
Я уж было плюнул, но тут заметил, что если зайти в инет через 3G модем, то левых баннеров нет и "мой мир" открывается. Начал пинговать my.mail.ru через 3G пингуется, а через ADSL+Wi-Fi нет. Просто mail.ru пингуется и там и там, но даёт разные IP-адреса. Стал смотреть DNS - оказалось, что в ADSL-модеме прописаны левые DNS-сервера, которые он добросовестно раздавал по DHCP на остальные устройства. Я обычно всегда прописываю сурнетовские сервера, но тут засомневался. Прописал ещё раз, сохранил.
Всё заработало, как должно. Но! Через 3-4 недели ситуация повторилась! Теперь я знал куда смотреть, но так и не понял каким образом DNS опять поменялись. Пароль на модеме у меня нестандартный хоть и простой, управление извне закрыто. Получается либо дыра в прошивке, либо какой-то редиска с внутреннего компа их поменял (у меня обычно в браузере на одной из закладок страница настроек модема открыта). Но никто из моих домашних на такое не способен, посторонних тоже не было.
То есть дыра осталась и локализовать её я пока не могу. Может у кого из присутствующих были подобные симптомы?
Отпишитесь плиз!
-
a_glow - Сообщения: 2074
- Изображения: 44
- Зарегистрирован: Вс 19 авг 2007, 12:35
- Откуда: кыштымский
Good Luck!
Меняй пароль на модеме.
-
Hak - Сообщения: 708
- Зарегистрирован: Вт 31 июл 2007, 11:36
- Откуда: Russia
antoshka_su
Это не тот вирус, который был у тебя, папки не скрыты, их вообще не видно. Читайте по ссылкам!
Это не тот вирус, который был у тебя, папки не скрыты, их вообще не видно. Читайте по ссылкам!
Только для FAT32, ОС Windows 98/МЕ/2000/2003/ХР
Иногда сканер Dr.Web® при подготовке к сканированию безнадежно зависает, причем в строке статуса выводится текст "Подготовка сканирования - C:\каталог\_далее_каталоги_", постепенно каталоги оказываются вложенными, т.е. выводится сообщение: "Подготовка сканирования - C:\..\..\..\каталог\_далее_каталоги_" и так далее, пока процесс сканера не будет аварийно завершен пользователем.
Путем разбора полетов на форуме была установлена причина -- наличие на сканируемом диске каталога E2E2~1.
Данный каталог не виден в проводнике Windows. Вот краткая инструкция по его обнаружению и устранению (вы должны работать с правами администратора):если в отчете (С:\Log.txt) будут строки вида:Введите в командной строке:
dir C:\ /N /X >Log.txtтогда необходимо ввести в командной строке:Содержимое диска С:\
<...>
14.09.2007 00:19 <DIR> E2E2~1 ..
<...>rd \E2E2~1
Повторить для каждого имеющегося диска (раздела).
Зависание сканера должно исчезнуть.
К сожалению, пока неизвестно, кто или что порождает этот самый каталог E2E2~1 на дисках пользователей.
Удалось установить, что созданием каталога с таким названием занимались китайские "экспериментаторы". Они преследовали цель создать на диске каталог, невидимый для антивирусов, тогда, поместив в такой каталог вредоносную программу, возможно получить неубиваемый вирус. Почему E2E2~1 невидим в проводнике? Очередная ошибка компании Microsoft. На запросы в компанию по данному поводу вразумительного ответа мы не получили. Также установлено, что E2E2~1 невидим только на файловой системе FAT32.
Данный каталог возможно обнаружить при загрузке в MS-DOS. Вполне правильно в Windows XP® в DOS-сессии этот каталог отображается старенькой версией VC (Volkov Commander 4.99)
Для относительно новой NTFS (используется на выбор в XP и по умолчанию в Vista) каталог E2E2~1 не страшен, но уже известны случаи "неубиваемых папок" на NTFS с другим названием (обычно с двумя точками -- ..)
На данный момент ревизор ADinf32 обнаруживает создание каталога E2E2~1.
Рекомендуется использование комплексных мер (связка файрвол+ДрВеб+Адинф) для наиболее полной защиты компьютера пользователя.
Как исправить
"Пуск" -> "Выполнить" -> CMD [нажать Enter]
Набрать "dir /x" [нажать Enter]
Посмотреть, как отображается это имя (вероятнее всего как E2E2~1).
Потом здесь же
"ren E2E2~1 NewFolder"
-
msshveikin - Сообщения: 4711
- Изображения: 24
- Зарегистрирован: Пт 15 июн 2007, 09:44
- Откуда: Тихое Зимовье
a_glow
От тебя в моем мире идут какие то фишинговые ссылки
От тебя в моем мире идут какие то фишинговые ссылки
-
msshveikin - Сообщения: 4711
- Изображения: 24
- Зарегистрирован: Пт 15 июн 2007, 09:44
- Откуда: Тихое Зимовье
Это конечно выход, но тогда я никогда не узнаю причину явления и это не спортивноHak писал(а):Меняй пароль на модеме.
Угу, там я пароль уже поменял и думаю: не следствие ли это вышеописанного?msshveikin писал(а):От тебя в моем мире идут какие то фишинговые ссылки
-
a_glow - Сообщения: 2074
- Изображения: 44
- Зарегистрирован: Вс 19 авг 2007, 12:35
- Откуда: кыштымский
Good Luck!
a_glow
Как это не узнаешь, если пароль сменишь и всё будет нормально работать значит твой модем просто напросто хакнули.
Как это не узнаешь, если пароль сменишь и всё будет нормально работать значит твой модем просто напросто хакнули.
-
Hak - Сообщения: 708
- Зарегистрирован: Вт 31 июл 2007, 11:36
- Откуда: Russia
a_glow писал(а):Пароль на модеме у меня нестандартный хоть и простой, управление извне закрыто.
Сколько символов в пароле? Брутфорс никто не отменял.
Хотя если управление извне закрыто - смысла в нем нет...
В то, что жена у тебя по ночам крадется к компу, залазит на модем и меняет DNS для DHCP на левые - Я слабо верю (точнее говоря - совсем не верю ), управление снаружи закрыто... ИМХО - единственный вариант - дырка в прошивке.
-
Ant - Сообщения: 1108
- Зарегистрирован: Пн 27 авг 2007, 20:09
-
msshveikin - Сообщения: 4711
- Изображения: 24
- Зарегистрирован: Пт 15 июн 2007, 09:44
- Откуда: Тихое Зимовье
Было 6 букв. Извиняюсь за дезинформацию, был открыт наружу ssh, только ведь УСИ на порты ниже 1024 всё равно не пускаетAnt писал(а):Сколько символов в пароле? Брутфорс никто не отменял. Хотя если управление извне закрыто - смысла в нем нет...
Так я один такой? Попингуйте mail.ru и my.mail.ru IP должны начинаться с 94.100.х.х, если с 83.х.х.х или 212.х.х.х, то у вас та же проблема.
-
a_glow - Сообщения: 2074
- Изображения: 44
- Зарегистрирован: Вс 19 авг 2007, 12:35
- Откуда: кыштымский
Good Luck!
НАПИСАТЬ ОТВЕТ
Сообщений: 66
• Страница 4 из 5 • 1, 2, 3, 4, 5
Новые сообщения | Нет новых сообщений | Форум закрыт |
Powered by рhрBВ © 2000 — 2012 рhрBВ Grоup Русская поддержка phpBB
Стиль разработан специально для Сугомак.ру
дизайн стиля:
Стиль разработан специально для Сугомак.ру
дизайн стиля: