Drongo
10-05-2008, 16:57
С Днём Победы всех! Здоровья крепкого!
В общем расклад такой
Предистория\пролог
Есть ноутбук, на котором есть 6 логических дисков. C: - D: - E: - F: - G: - H:, антивирусника на нём не было. Точно знаю, что были там вирусы. Форматнул диск C:, установил систему, драйвера, и... понял, интуиция или ещё как? Но понял точно, что вирусы есть всё равно, переустановка не помогла удалить их. Подключил ноут по локальному соединению к своему стационарному компу, проверил Касперским, предварительно обновив базы. Антивирус нашёл 12 опасных объекта: 6 Вирусов и 6 Троянов. На каждом диске, в корне лежало два одинаковый файла:
autorun.inf
u.bat
Файл autorun.inf, содержит такой код:
;41w3DaA7oaaqi2c5diZ3AnLfS5K7dejwAKraesK78aFk0k1i3swi1LAfwak4a2w3wwll0S2worJr2qdk4ks4
[AutoRun]
;iAkSk4kwoj0deoqL3wK2wJJ8pic71c99kai3241wkD
open=u.bat
;iapsif33s3dJksS4i53wkp1swJl10ikKafDkk22KelDosAKdaw3
shell\open\Command=u.bat
;k
shell\open\Default=1
;qikLHZkasq2dpskdl4sK
shell\explore\Command=u.bat
;fw0
Понятно, что он запускает файл u.bat, назначение которого мне неясно, может поскольку он троян, то что-то кому-то передавать?
Антивирус Касперского идентифицирует их как:
вирус Worm.Win32.AutoRun.bnq Файл: \\Alexandr\MEDIA (G)\autorun.inf
троянская программа Trojan-PSW.Win32.OnLineGames.nhx Файл: \\Alexandr\MEDIA (G)\u.bat
Вот скрин:
http://i013.radikal.ru/0805/5d/ac4ea64dfec1.jpg (http://www.radikal.ru)
Мои действия и попытки удалить
Удаление этих файлов антивирусом, не решает проблему, он их конечно удаляет, но они потом восстанавливаются. Данные файлы, имеют атрибуты: Скрытый, Системный, Только для чтения. Поэтому на ноуте я не могу выставить отображение скрытых и системных файлов, решение предложенное в этой теме Доступ - [решено] Помогите отобразить скрытые папки и файлы! (http://forum.oszone.net/thread-82686.html) проблему не решает. С ноута их не видно, с моего компа через локалку, я их вижу, и удаляю вручную, через секунд 15-20 они чудесным образом появляются на диске. Решил пойти таким путём, решил переименовать их, но номер не прошёл, они переименовались, но это действие было эквивалентно < Shift + Del >, всё равно по прошествии пол минуты они появляются. Следующий мой шаг был через команду:
attrib u.bat -s -h -r снять все атрибуты, потому что снятие через Свойства - снять галочку Только для чтения, тоже не решает, атрибуты: Скрытый, Системный, Только для чтения, восстанавливаются, хоть через командную строку, хоть через Свойства. Потом хотел изменить содержимое autorun.inf, выставив знак " ; " перед строками, что ниже, (можете смотреть, или нет), но скажу, сразу не помогло, хоть и подтверждается запись, и изменяется, но содержимое остаётся неизменным.
;41w3DaA7oaaqi2c5diZ3AnLfS5K7dejwAKraesK78aFk0k1i3swi1LAfwak4a2w3wwll0S2worJr2qdk4ks4
[AutoRun]
open=u.bat
shell\open\Command=u.bat
shell\open\Default=1
shell\explore\Command=u.bat
Последний ход был, скорее агоничным. Загрузился я с загрузочного CD - запуситл Volcov Commander, и в чистом DOS'e, попробовал удалить их нажав клавишу F8 Delete - не удалились, выдало сообщение с выделенной буквой, для файла: (буквы которые были выделенны, тут выделены жирным курсивом)
autorun.inf
u.bat
С перемещением вышли те же грабли... Хотел переместить в одну папку и потом грохнуть... Не судьба... Но интересно ведь, неужели я не могу их победить?! Они ничем не проявляют себя, кроме того, что эти файлы присутствуют и нельзя другие файлы отобразить если они скрытые и системные. Есть конечно вариант с форматированием всего винчестера, но это крайняя мера, поскольку там есть законодательные и бухгалтерские базы. Таблицы и документы... В связи с этим, возникают несколько вопросов:
1. Что это за вирусы? Их назначение? (Если они только в корне диска и всё.)
2. Насколько безопасно будет перекопировать все данные с одного компа на другой, кроме этих вирусов? (Не передадутся ли и они, как "бонус", с копированием?)
3. Как их всё таки удалить? (Поскольку те выделенные буквы, как будто комп не понимает имени файла, так и пишет: Bad command or name file, когда я из под DOS'a, хочу их удалить, команды вводил правильно.)
4. Возможно ли их удалить без форматирования всего винчестера?! (Как я понял, если трояны, то кроме как "уворовывания и слежения" за ноутом, у них нет другого назначения?)
Была ещё задумка(ночью пришла), написать .cmd с таким содержимым:
@echo off
del C:\autorun.inf
del C:\u.bat
del D:\autorun.inf
del D:\u.bat
del E:\autorun.inf
del E:\u.bat
del F:\autorun.inf
del F:\u.bat
del G:\autorun.inf
del G:\u.bat
del H:\autorun.inf
del H:\u.batЧтобы сразу удалить все файлы во всех дисках, может тогда они не успеют восстановиться? Потому что если они где-то в другом месте ещё зарыты или как-то связаны с win.ini, то я не знаю, с локалки я туда не могу зайти, а с ноута не видно этого файла...
В общем расклад такой
Предистория\пролог
Есть ноутбук, на котором есть 6 логических дисков. C: - D: - E: - F: - G: - H:, антивирусника на нём не было. Точно знаю, что были там вирусы. Форматнул диск C:, установил систему, драйвера, и... понял, интуиция или ещё как? Но понял точно, что вирусы есть всё равно, переустановка не помогла удалить их. Подключил ноут по локальному соединению к своему стационарному компу, проверил Касперским, предварительно обновив базы. Антивирус нашёл 12 опасных объекта: 6 Вирусов и 6 Троянов. На каждом диске, в корне лежало два одинаковый файла:
autorun.inf
u.bat
Файл autorun.inf, содержит такой код:
;41w3DaA7oaaqi2c5diZ3AnLfS5K7dejwAKraesK78aFk0k1i3swi1LAfwak4a2w3wwll0S2worJr2qdk4ks4
[AutoRun]
;iAkSk4kwoj0deoqL3wK2wJJ8pic71c99kai3241wkD
open=u.bat
;iapsif33s3dJksS4i53wkp1swJl10ikKafDkk22KelDosAKdaw3
shell\open\Command=u.bat
;k
shell\open\Default=1
;qikLHZkasq2dpskdl4sK
shell\explore\Command=u.bat
;fw0
Понятно, что он запускает файл u.bat, назначение которого мне неясно, может поскольку он троян, то что-то кому-то передавать?
Антивирус Касперского идентифицирует их как:
вирус Worm.Win32.AutoRun.bnq Файл: \\Alexandr\MEDIA (G)\autorun.inf
троянская программа Trojan-PSW.Win32.OnLineGames.nhx Файл: \\Alexandr\MEDIA (G)\u.bat
Вот скрин:
http://i013.radikal.ru/0805/5d/ac4ea64dfec1.jpg (http://www.radikal.ru)
Мои действия и попытки удалить
Удаление этих файлов антивирусом, не решает проблему, он их конечно удаляет, но они потом восстанавливаются. Данные файлы, имеют атрибуты: Скрытый, Системный, Только для чтения. Поэтому на ноуте я не могу выставить отображение скрытых и системных файлов, решение предложенное в этой теме Доступ - [решено] Помогите отобразить скрытые папки и файлы! (http://forum.oszone.net/thread-82686.html) проблему не решает. С ноута их не видно, с моего компа через локалку, я их вижу, и удаляю вручную, через секунд 15-20 они чудесным образом появляются на диске. Решил пойти таким путём, решил переименовать их, но номер не прошёл, они переименовались, но это действие было эквивалентно < Shift + Del >, всё равно по прошествии пол минуты они появляются. Следующий мой шаг был через команду:
attrib u.bat -s -h -r снять все атрибуты, потому что снятие через Свойства - снять галочку Только для чтения, тоже не решает, атрибуты: Скрытый, Системный, Только для чтения, восстанавливаются, хоть через командную строку, хоть через Свойства. Потом хотел изменить содержимое autorun.inf, выставив знак " ; " перед строками, что ниже, (можете смотреть, или нет), но скажу, сразу не помогло, хоть и подтверждается запись, и изменяется, но содержимое остаётся неизменным.
;41w3DaA7oaaqi2c5diZ3AnLfS5K7dejwAKraesK78aFk0k1i3swi1LAfwak4a2w3wwll0S2worJr2qdk4ks4
[AutoRun]
open=u.bat
shell\open\Command=u.bat
shell\open\Default=1
shell\explore\Command=u.bat
Последний ход был, скорее агоничным. Загрузился я с загрузочного CD - запуситл Volcov Commander, и в чистом DOS'e, попробовал удалить их нажав клавишу F8 Delete - не удалились, выдало сообщение с выделенной буквой, для файла: (буквы которые были выделенны, тут выделены жирным курсивом)
autorun.inf
u.bat
С перемещением вышли те же грабли... Хотел переместить в одну папку и потом грохнуть... Не судьба... Но интересно ведь, неужели я не могу их победить?! Они ничем не проявляют себя, кроме того, что эти файлы присутствуют и нельзя другие файлы отобразить если они скрытые и системные. Есть конечно вариант с форматированием всего винчестера, но это крайняя мера, поскольку там есть законодательные и бухгалтерские базы. Таблицы и документы... В связи с этим, возникают несколько вопросов:
1. Что это за вирусы? Их назначение? (Если они только в корне диска и всё.)
2. Насколько безопасно будет перекопировать все данные с одного компа на другой, кроме этих вирусов? (Не передадутся ли и они, как "бонус", с копированием?)
3. Как их всё таки удалить? (Поскольку те выделенные буквы, как будто комп не понимает имени файла, так и пишет: Bad command or name file, когда я из под DOS'a, хочу их удалить, команды вводил правильно.)
4. Возможно ли их удалить без форматирования всего винчестера?! (Как я понял, если трояны, то кроме как "уворовывания и слежения" за ноутом, у них нет другого назначения?)
Была ещё задумка(ночью пришла), написать .cmd с таким содержимым:
@echo off
del C:\autorun.inf
del C:\u.bat
del D:\autorun.inf
del D:\u.bat
del E:\autorun.inf
del E:\u.bat
del F:\autorun.inf
del F:\u.bat
del G:\autorun.inf
del G:\u.bat
del H:\autorun.inf
del H:\u.batЧтобы сразу удалить все файлы во всех дисках, может тогда они не успеют восстановиться? Потому что если они где-то в другом месте ещё зарыты или как-то связаны с win.ini, то я не знаю, с локалки я туда не могу зайти, а с ноута не видно этого файла...