"windows заблокирован!" !
когда появляется такая фигня - надо сразу отрубать комп от инэта (выдернуть сетевой шнур).
Фигня полная. Она сразу подставляет в реестре себя вместо эксплорера. Поэтому наиболее простым способом лечения является загрузка с БартПЕ, с последующей правкой реестра и убиванием всех файлов созданных на дату заражения.
а вот на маках такой херни нет и быть не может 😛
Я тут на днях столкнулся в процессе лечения сильно завирусованного клиентского компа, с вирусом, который умудрился каким-то неведомым способом скрыть почти все содержимое моей флешки!😃 Причем, показ “скрытых” и “системных” файлов в моем компе включен! При этом, остальные “скрытые” файлы прекрасно видны, в “бледненьком” виде, в том числе и на этой флешке… Утилиты восстановления данных, показывают только реально удаленные файлы, тех что потеряны среди них нет. Объем флешки в Винде показываетя как положено, почти под завязку, но реально видимые файлы это около 5% от объема… Мозги закипели, пошел курить интернет… Оказывается все просто - в таком случае помогает WinPar или FAR… Они прекрасно видят эти файлы, показывая при этом на них атрибут “скрытый”. С помощью последнего я совершенно спокойно снял с них этот артрибут, и все пришло в норму, ничего не потерялось:). “Ложечки нашлись, но осадок остался!” - Я так и не понял, что за механизм скрытия файлов использует этот вирус… Так, что стандартными средствами винды они не видны, а FAR и RAR их видит без проблем… При этом, другие скрытые файлы отображаются в “бледном” виде виндой(само собой FARом и RARом тоже) нормально…
Что за фигня, может кто-нибудь прокомментировать-???
на линухах тоже.
Что за фигня, может кто-нибудь прокомментировать-???
про ХР не помню, а в висте и выше есть такая фигня как “супер скрытые файлы и папки” где то там в дебрях реестра живет параметр “ShowSuperHidden” (на вскидку где то так называется) ветку не помню… скорее всего вирусняк поиграл с этим параметром и атрибутами файлов… а фару и рару до фонаря неизвестные им атрибуты, у них свой механизм чтения
про ХР не помню…
Тоже есть.
где то там в дебрях реестра живет параметр “ShowSuperHidden”
Спасибо, не знал… Сейчас поищу в ХР такой…
Нашел: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
Стоит в положении “не показывать”… Абсолютно прав Алексей, видимо есть такой атрибут у файлов и вирус назначил его папкам на флешке… А FAR и RAR о нем просто не знают, поэтому и показывают:)
Спасибо еще раз, как говорится - “Век живи, век учись… И все равно дураком подохнешь;)”
PS Остается вопрос, как его можно назначить файлу или папке? Из интерфейса винды, как я понимаю - нельзя… Только програмным образом? Или всетаки можно как-то? Оно вобщем-то и не нужно, но… Так, для самообразования, вдруг пригодится:)
PSS Хм… Нет такого отдельного атрибута, есть только комбинация “скрытого” и “системного”, она как раз и считается “SuperHidden”… Вот цитата с какого-то сайта про настройки винды:
Для остальных системных файлов, например ntldr, ntdetect.com и ntbootdd.sys, установлены атрибуты System (Системный) и Hidden (Скрытый). Такие файлы считаются полностью скрытыми (superhidden) и не видны пользователю, даже если в пользовательском интерфейсе задано отображение скрытых файлов. Суперскрытые файлы можно увидеть с помощью команды dir /А.
Хотя, я точно смотрел, что в свойствах папки был установлен показ и тех, и других… Видимо, вирь что-то “поправил” в реестре, и несмотря на положение “флажков” в свойствах папки, винда не отображала файлы с установленными двумя атрибутами - “скрытый” и “системный”. Сейчас все нормально, но что было “поправлено:)” я уже и не знаю, так-как запускал AVZ, в том числе и восстановление показа скрытых файлов…
Я тут на днях столкнулся в процессе лечения сильно завирусованного клиентского компа, с вирусом, который умудрился каким-то неведомым способом скрыть почти все содержимое моей флешки!
Постоянно на работе борюсь с этим вирусом… народ всякий ходит, на флешках полно всякой дряни… А авторан не на всех компах вырубить успел… Да и антивирусы там, порой, вообще отсутствуют 😦
Разделяю это троянчик на три группы:
-
Самый “безобидный” - просто делает файлы скрытыми, и создает ехе-шники с именами папок, а эхе-шники “клоны” вироса. Так же, создает два фала на флешке - в одном сам вирус, а второй - авторан, где пишется, что открывать (фаил с вирусом).
-
Посурьезнее. делает тоже самое, что и (1), но делает файлы системными. Тут “вернуть назад” уже сложнее.
-
Самый опасный - он, гад такой, удаляет папки в корне флешки, а вместо их создает клонов с расширением ехе. причем, “растягивает” вирусный ехе-шник, так, чтобы папка-клон весила столько же, сколько оригинал. Ну и + 2 системных файла на флешке, как в (1) и во (2).
С первыми двумя - уже давно имею дело. А вот с третим - не давно. У папы моего так всю флешку затер… а том полно было важной инфы… Когда восстанавливал флешку, подумал, уж лучше для таких вещей иметь флешку с механической защитой от записи, как на дискетках и картах памяти. Есть такие флешки…даже с кодом 😃
Фигня полная. Она сразу подставляет в реестре себя вместо эксплорера. Поэтому наиболее простым способом лечения является загрузка с БартПЕ, с последующей правкой реестра и убиванием всех файлов созданных на дату заражения.
Ну дык, понятно что реестр надо чистить…и не только 😃 просто, не каждый знает что там чистить…а некоторые, вообще от слова “реестр” глаза по 5 рублей строят 😁 Да и потом, пока в реестр залазеешь - троянчик уже “сделает свое дело”. Хотя…это уже тонкости…
Ну, по Вашей классификации у меня был второй… С третьим бороться надо восстанавливая файлы утилитами восстановления… Следует ожидать появления “четвертой” разновидности, которая будет не только удалять папки и подставлять вместо них файлы с “неправильным” размером, но и реально перезаписывать их, забивая мусором… Вот тогда, пиши пропало данным:(
Да мне и третей хватили, чтоб полночи потратить.
Хотя, я точно смотрел, что в свойствах папки был установлен показ и тех, и других… Видимо, вирь что-то “поправил” в реестре, и несмотря на положение “флажков” в свойствах папки, винда не отображала файлы с установленными двумя атрибутами - “скрытый” и “системный”.
Ну так это просто проверить… берем файлик - ставим ему оба атрибута, и играемся с параметром суперхиден (хотя и играться то не надо он же по умолчанию включен), если при установке обоих файлик прячется в эксплоедере, а фар его кажет, значит 99%, что именно это и делал вирус… А флажки скорее всего говорят, что показываются скрытые и системные файлы, но не скрытые+системные, опять же можно попробовать “помигать” атрибутами… Сам проверить не могу - сейчас сижу на пингвине…
а вот на маках такой херни нет и быть не может 😛
зато такое есть:
😃
зато такое есть:
хех 😉 у меня обоина такая же
Ну так это просто проверить…
Проверил, просто установкой атрибутов. Видны файлы в любой комбинации флажков. А с параметром суперхиден, пока не игрался, просто некогда было, но, как-нибудь все равно проверю, “на будущее”. Сейчас сложно определить, что было в реестре на тот момент, когда флешка была не видна, там я уже десять раз все перекопал, и вручную, и AVZ-том, скорее всего причина именно там была…
Вчера, забежав в офис на несколько минут, включил свой рабочий комп, решил глянуть любимый ресурс rcopen.com. Через пару минут чтения сообщений увидел: типа - “да вы батенька развратник… любите посещить сайта с детским порно или насилием над детьми… плати бабки”.
- Комп доступен только мне…
- Стоит лицензионная винда с автообновлением критических новшевст.
- Лицензионный касперыч, с новейшими базами.
Млин… Как вспомню, как месяц назад целый день вытравлял эту гадость с ноута коллеги после посещения им невинного ресурса “город мастеров”, грустно становится… Сегодня было не до компа, а завтра вместо добавы бабла любимой фирме, придется бороться с этой пакостью…
ЗЫ Вчера же получил СМС- “Мам, вышли 940р на номер …, потом все объясню…”. Улыбнулся…
Ну а с блокировкой то, реальный убыток и проблемы возможны… Не до улыбок… 😦
За последние пол года ловил несколько раз, всегда вытравлял за 10-15 минут утилитой упомянутой мной в 10 посте.
Вчера,
Аналогично, Сергей! Зашел на RCdesign.ru и практически сразу стал развратником… Отключил зараженный винт и стал работать на втором. На форум заходил раз десять - для проверки - все нормально. Сегодня зараженный винт почистили спецы (тонкости не понял). Работал с восстановленным винтом без выхода в сеть часа два. Стоило войти в сеть и направить стопы на любимый форум, как опять был причислен к развратникам молодежи… - но номер телефона (МТС) отличается от вчерашнего. Отключил винт, работаю на втором - пишу данное сообщение. На обоих дисках - ХР.
Доп. информация: с проблемным винтом - выход на форум через Яндекс; на втором - через Google…
Сегодня зараженный винт почистили спецы (тонкости не понял)…Стоило войти в сеть и направить стопы на любимый форум, как опять был причислен к развратникам молодежи…
Хорошие у вас спецы, специальные. 😃
Уж какие есть. А вот выбора - увы - нет.😦 Пусть учатся.
Вирус оказался простецкий (в отличии от тех, с которыми приходилось биться, помогая друзьям и коллегам). Системные файлы даже не тронул. Вытравил за 5 мин.
Но осадок остался…
какими браузерами пользуемся?
флэш вам обновлять не предлагали?