22:59 

Про одну завирусованную флэшку, пропавшие папки и exe-шники

quoll
There's so much sad in empty words...
  Несколько недель назад потребовалось мне распечатать в универовском центре ксерокопии документы. (БГУИР, третий корпус - будьте внимательны! Есть предположение, что антивируса там нет в принципе. А еще там ужасно работает принтер, девушке постояно приходится делать "бдыщ" лотком с бумагой или чем там. =)). Документы были на телефонной флэшке.
  Заглянув в нее через некоторое время после распечатки, обнаружил, что все папки таинственным образом заменились на exe-файлы. Дело ясное, что дело темное. При этом показ скрытых файлов у меня включен по умолчанию, но папок не было, хотя свободного места на носителе явно не прибавилось.
  Avast, естественно увидел в экзешниках троянца (Trojan.Agent, или как он у аваста называется, не помню уже), но удалять их пока не стал, - на всякий случай. По идее, при их запуске должен происходить эдакий беспалевный переход в одноименную папку с одновременным заражением системы. В принципе, ничто не мешало просто отформатировать флэшку, но вернуть данные захотелось. Покрутив-повертев немного, внятного решения я не нагуглил и на время забил.
  Через некоторое время вернувшись к вопросу проделал следующее:
- в сети среди прочего обнаружил посты про вирус, который создает папку из трех точек ("..."), которая не отображается, но в которую можно перейти из командной строки. И вот в этой папке все должно быть. Попробовал. Не-а, не мой случай.
- с помощью CureIt ( www.freedrweb.com/cureit ) проверил флэшку на вирусы. Экзешники вновь определились, но уже под каким-то другим названием. Этот же CureIt их и удалил. Не суть, важно другое: при проверке утилита пыталась пройти по пути вида "..\..\..\.." и так далее. То есть все-таки аналогия есть.
  Осталось разобраться, как же выдрать запрятанное. Досовский dir тоже явно показывал, что папка с именем из двух точек ("..") присутствует. Конечно, "cd .." и "ren .. 111" не прокатили. Гениальное решение подсказал одногруппник, который заинтересовался и погуглил более удачно, чем я. Если ввести "dir /x", то имена файлов и директорий выведутся в двух вариантах: полном и коротком. Так вот, короткий вариант для двух точек совсем не две точки. И далее достаточно было ввести "ren краткое_имя новое_имя" - и все потерянное нашлось. Отсюда вывод: как следует разобраться во _всех_ опциях досовских команд. =)


Ну и краткий алгоритм для не осиливших приложенный выше опус. Нарочно разжевываю, не пинайте. Вдруг кому-то пригодится:
0) Пропали папки, вместо них появились файлы с расширением exe. При это свободного места не прибавилось, то есть содержимое все еще на диске.
1) Не паникуем, ни в коем случае не запускаем эти файлы. Убиваем Проверяем их антивирусом. И убиваем.
2) Выполнить -> cmd
3) В cmd.exe переходим на нужный диск ("f:" , например), далее "dir /x". На экран выводится список содержимого корневого каталога. Наверняка там окажется папка с названием из двух или трех точек, рядом с этими точками будет другое ее название, которое нам и нужно.
4) Набираем "ren название_из_предыдущего_пункта новое_название".
5) PROFIT! Теперь загляните в переименованную папку.

Надеюсь, еще кому-нибудь это окажется полезным. =)

@настроение: sleepy

@темы: вирусы, бгуир, универ

URL
Комментарии
2011-01-04 в 17:03 

отличная инструкция!!!!!!!!

URL
   

Кофейный кунь

главная