-
Junior Member
- Вес репутации
- 50
Новый "вид" autorun.inf
Здравствуйте.
Применяю на флешках давно известную фитчу с папками autorun.inf/com1. Папку не возможно удалить => файл autorun.inf на флэшку не записывается.
Сегодня на работе появилась новая разновидность. Мою папку новый зловред переименовал в autorun_.inf и записался на флэшку. Кроме того, зловред имеет атрибуты HX, и удалить/переместить/переименовать/заархивировать/скопировать его стандартными методами не получается. Не помогает ни unlocker, ни AVZ отложенное удаление файла (вообще говорит "не возможно открыть файл"). Снять атрибуты командой attrib, естественно, тоже нельзя. Выслать это чудо для вивисекции не могу (по причине указанной выше).
На WinXP зловред успешно распространяется (2 зараженных компьютера, оба с лицензионным Касперским), на Win7 судя по всему не действует. Размер файла 1 кб.
Гугл считает, что атрибут X бывает только на Linux в файловой системе ext (ext2, 3). Судя по всему, он ошибается.
У меня нет непременной задачи вылечить вирус на компьютерах. Это чужие рабочие машины, их сколько не лечи - все равно новых вирусов натаскают. Но если есть готовое решение - с удовольствием поделюсь с коллегами.
Собственно, у меня вопрос - как удалить зловреда со своей флэшки не форматируя ее? И можно ли как-нибудь проставить атрибуты HX на мою папку autorun.inf/com1, чтобы в будущем зловред меня не беспокоил?
П.С.Пока ждал ответа загрузился в DOS и удалил файл autorun.inf. Удалился без проблем и лишних вопросов. Метод простой и действенный, но не всегда доступный. Хотелось бы найти решение в Windows.
Последний раз редактировалось indi; 27.03.2012 в 00:55.
Причина: Найдено решение одной из проблем
Нет ничего невозможного - есть маловероятное
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
А из файловых менеджеров, которые есть в антируткитах типа GMER, не получается удалить такой файл? Они работают не через стандартные виндовые API.
Последний раз редактировалось ValeryLedovskoy; 31.03.2012 в 00:36.
Оно пошто поди понятно, оно и правильно, а случись-тко что-нибудь - вот те и пожалуйста...
-
-
Junior Member
- Вес репутации
- 53
Через WinHex. Но это не всегда удобно. Просмотреть и скопировать такие файлы можно через программу восстановления данных, например, Handy Recovery.
А про то, что защита в виде папки autorun.inf снимается одной строчкой кода, я рассказываю всем знакомым, но никто не верит - упорно продолжают "вакцинироваться"...))
-
Junior Member
- Вес репутации
- 35
Удалось снять атрибуты только через Ubuntu, там все без проблем прошло.