Midex Posted May 14, 2012 Share Posted May 14, 2012 Напротив, решавам си го...ще ти го обясня, като използвам малко повече думата "единствено" и производните й. Това, че "нещо си" седи някъде из дебрите на операционната не ме интересува особено, защото единствената му работа е да създава autorun.inf + скрита папка с испанско .exe единствено на флашката и стартира exe-то единствено и само от флашката, но не и да стартира процес от самия хард (вече се убедих в това). Освен това винаги, когато образува папката с exe-то, това аз го виждам още на момента и това става единствено и само в момента на първоначалното свързване на флашката към USB порта и никога докато работя нещо с файловете в нея. П.П. А досега не съм забелязал мутирало поведение, така че просто може да е нещо едноклетъчно. Link to comment Share on other sites More sharing options...
djadomraz Posted May 14, 2012 Share Posted May 14, 2012 Много те моля направи си архив. В ей този момент. На CD-та ако обичаш. Или на DVD-та. Би ми било много неприятно ако след няколко дена в другата тема споделиш как въпросната гад изведнъж е преценила да свърши някакъв погром. Сериозно! Пък после ако не искаш недей да я чистиш, само недей да въвеждаш номера на кредитни карти на въпросната машина никъде Link to comment Share on other sites More sharing options...
sheep Posted May 14, 2012 Share Posted May 14, 2012 Нека аз пак да си кажа - ако искаш и ти се занимава пробвай да намериш в нета програмката Flash Disinfector и да я пуснш. Примерно от тук. Значи тя ще ти създаде на абсолютно всички дялове на компютъра една директория autorun.inf, в която има един файл, който пак програмката го създава. Тази директория не може да се трие или модифицира. Само където всички видове autorun ще бъдат деактивирани, но на първо време предполагам няма да е проблем. Например ако си сложиш някакво CD с autorun функция трябва сам да си пуснеш програмката или там каквото изпълнява на autorun... Link to comment Share on other sites More sharing options...
Midex Posted May 14, 2012 Share Posted May 14, 2012 Май пак не бях достатъчно ясен... На нито един от дяловете нямам и никога не съм имал autorun.inf + каквито и да са самосъздаващи се файлове, обвързани с някакво autorun.inf. Това се случва само върху флашки и става единствено в момента на присъединяването на флашката в системата. Така че създаването на неизтриваем autorun.inf на харда няма да ми помогне по никакъв начин. @w00x, не съм чак толкова заблуден, че да търся работещо exe сред процесите...Наясно съм, че нещо работи, било през dll или от другаде, а svchost-та, стартирал се вече от самосъздалото се exe на самата флашка го терминирам ръчно и едва тогава мога да изтрия ауторъна, заедно с папката с испанското екзе...дори и ако пробвам да изкарам "безопасно" флашката, докато все още не съм терминирал процеса, получавам съобщението, че нещо на флашката работи в този момент. Link to comment Share on other sites More sharing options...
w00x Posted May 14, 2012 Share Posted May 14, 2012 ... защото единствената му работа е да създава autorun.inf + скрита папка с испанско .exe единствено на флашката и стартира exe-то единствено и само от флашката, но не и да стартира процес от самия хард (вече се убедих в това). Ей ся ако ми кажеш в тва как си убеден.... И само да вметна, че факта, че не виждаш exe със странно име измежду процесите означава единствено, че вируса не е толкова елементарен. Нещо работи. Може да си сигурен в това. Сигурен съм, че не си проверил всеки един DLL файл закачен към всеки един процес. Да не говорим, че голяма част от инфекциите се стартират прикачени към svchost.exe и в процесите излиза само това име редом с още 10 легални. Link to comment Share on other sites More sharing options...
sheep Posted May 14, 2012 Share Posted May 14, 2012 Аз не съм специалист. Как горе-долу си го представям. Значи като се вкара флашката се страртират от някъде си (на харда очевидно) няколко процеса, които са написани в този autorun.inf файл от вируса. С тази програмка се спира всякаква autorun активност. Т. е. като се вкара флашката вирусът няма как да започне да действа, защото първият файл от вируса - този autorun.inf няма как да тръгне и да си изпълни, каквото е написано вътре. Link to comment Share on other sites More sharing options...
w00x Posted May 14, 2012 Share Posted May 14, 2012 Аз не съм специалист. Как горе-долу си го представям. Значи като се вкара флашката се страртират от някъде си (на харда очевидно) няколко процеса, които са написани в този autorun.inf файл от вируса. С тази програмка се спира всякаква autorun активност. Т. е. като се вкара флашката вирусът няма как да започне да действа, защото първият файл от вируса - този autorun.inf няма как да тръгне и да си изпълни, каквото е написано вътре. Като цъкнеш на някой от дяловете в MyComputer се стартират autorun.inf файловете. Ако отвориш MyComputer и го избереш в ляво от дървото, autorun не се задейства. Идеята ми е, че има инфекция и да се търсят начини да се обори е по-трудно и по-безмислено от това да се търсят начини да се изчисти. Link to comment Share on other sites More sharing options...
djadomraz Posted May 14, 2012 Share Posted May 14, 2012 Това се случва само върху флашки и става единствено в момента на присъединяването на флашката в системата. Така че създаването на неизтриваем autorun.inf на харда няма да ми помогне по никакъв начин. Създаването на файлове от самосебе си е невъзможно. Системата няма такава функция автоматично да слага файлове на всяка вкарана флашка. Това става само и единствено от някакъв процес. А такива саморазмножаващи се процеси ги наричаме вируси Link to comment Share on other sites More sharing options...
w00x Posted May 14, 2012 Share Posted May 14, 2012 Аз не разбирам тая неговата упоритост да не иска да изчисти вируса от къде идва Мидексе, ще ти се вържа в компютъра и ще те изчистя на ръка за 1 час или по-малко, ако продължаваш да упорстваш толкова... Link to comment Share on other sites More sharing options...
Midex Posted May 14, 2012 Share Posted May 14, 2012 Създаването на файлове от самосебе си е невъзможно. Системата няма такава функция автоматично да слага файлове на всяка вкарана флашка. Това става само и единствено от някакъв процес. А такива саморазмножаващи се процеси ги наричаме вируси Дедо, неразбирането ти явно идва от...знаеш какво ще кажа, щото съм го казвал много пъти . Къде точно казах "от самосебе си", че не виждам нещо...Ако имаш предвид "самосъздаващи се", има доста разлика, защото заедно с това по-горе споменах "Това, че "нещо си" седи някъде из дебрите на операционната не ме интересува особено, защото единствената му работа е да създава autorun.inf + скрита папка с испанско .exe единствено на флашката"....деба...как мразя да съм толкова подробен и да се обяснявам като ученичка. @Ангеле, сега и до края на месеца просто нямам никакво време да се ровя надълбоко и да губя време, още повече, че дори скан с последните дефиниции не намира нищо никъде и дори ръчно сканиране на някое от испанските екзета не показва, че става дума за нещо подозрително. Именно поради това предпочитам да мина по бързата процедура и да спася флашките от постоянното създаване на такива файлове, респ. да предотвратя зарази извън и чрез тях. Засега си качих една програмка, с която ръчно мога да заключвам/отключвам флашките за писане, а като мине май месец, вече ще се поровя по-основно из регистри, библиотеки и най-вече гугъл. Link to comment Share on other sites More sharing options...
djadomraz Posted May 14, 2012 Share Posted May 14, 2012 Това, че "нещо си" седи някъде из дебрите на операционната не ме интересува особено, защото единствената му работа е да създава autorun.inf + скрита папка с испанско .exe единствено на флашката" Тъй де тъй. Имаш си вирусче, което как ръгнеш флашка и се размножава по нея Link to comment Share on other sites More sharing options...
Midex Posted May 15, 2012 Share Posted May 15, 2012 Тъй де тъй. Имаш си вирусче, което как ръгнеш флашка и се размножава по нея Разгеле, разбра ме. ...а иначе силно се надявам, че е някое безобидно троянче, дето дебне това и онова да го препрати някъде си и силно се надява, че чрез флашките ще може да се размножи най-бързо и другаде, ама ти като не щеш да го разкостиш онова exe...и си оставам само с надеждата, че е така. П.П. А иначе днес получих в пощата си за не знам кой си път известие с логото на DHL, в което ми се извиняват, че не могат да ми доставят пратката, която съм поръчал, поради неточност в адреса. Разбира се, прилагат ми и един ZIP с EXE вътре, в което уж ми описват цялата ситуация - един вид...EXE-то ще ми разказва сладки приказки... Само дето много плитко скалъпват всеки път тези ситуации - първо, изпратено е персонално до мен, а налучкват име, основавайки се на името на пощата ми (което е нелепо и почти абсурдно да познаят) ; второ - на "получател", освен аз, стоят и още 20 пощи с подобни имена, както моята ; трето - да пратиш exe в zip, което ръчно трябва да стартираш, че да се информираш защо не ти е доставена някаква пратка е доста малоумно. В сравнение с това, моята гадинка, дето си прави ауторън и екзе на флашката, като автоматично го пуска, си е направо висш пилотаж. Само не знам защо шибаната антивирусна програма прихваща и третира всеки Keygen като троянец и го трие, а ръчното сканиране на тоя зип с екзето вътре не намира нищо подозрително. Link to comment Share on other sites More sharing options...
w00x Posted May 15, 2012 Share Posted May 15, 2012 Само не знам защо шибаната антивирусна програма прихваща и третира всеки Keygen като троянец и го трие, а ръчното сканиране на тоя зип с екзето вътре не намира нищо подозрително. На тва с Keygen-а му се вика False Positive (един вид). Всичко опира до анти-вирусната. А не намира нищо в EXE-то от мейла ти, защото то реално може да няма зловреден код вътре, а просто да те кара на някой сайт, където през URL-а и дупки в браузъра, да ти се втъкне инфекцията. Link to comment Share on other sites More sharing options...
Midex Posted May 15, 2012 Share Posted May 15, 2012 На тва с Keygen-а му се вика False Positive (един вид). Всичко опира до анти-вирусната. А не намира нищо в EXE-то от мейла ти, защото то реално може да няма зловреден код вътре, а просто да те кара на някой сайт, където през URL-а и дупки в браузъра, да ти се втъкне инфекцията. Истината е, че "анти"-тата имат доста да догонват всичките постоянно измислящи се способи и възможности за зараза. Днес например се изумих как на флашката, на която беше забранено да се пише, мистериозно се появи ново EXE с autorun.inf , когато я присъединих. Направо не повярвах, че е възможно и веднага проверих дали мога да запиша или изтрия някакъв маловажен за мен файл на флашката - разбира се не стана, което ме наведе на мисълта, че има вероятност оная гадина на харда, дето разпространява поколението си на флашки, като усети присъединен USB стик, проверява дали софтуерно не е забранен записа и ако е - отключва го временно, създава си ауторъна + папката с екзето и отново го заключва. Ако е така - евала... Link to comment Share on other sites More sharing options...
w00x Posted May 15, 2012 Share Posted May 15, 2012 Истината е, че "анти"-тата имат доста да догонват всичките постоянно измислящи се способи и възможности за зараза. Днес например се изумих как на флашката, на която беше забранено да се пише, мистериозно се появи ново EXE с autorun.inf , когато я присъединих. Направо не повярвах, че е възможно и веднага проверих дали мога да запиша или изтрия някакъв маловажен за мен файл на флашката - разбира се не стана, което ме наведе на мисълта, че има вероятност оная гадина на харда, дето разпространява поколението си на флашки, като усети присъединен USB стик, проверява дали софтуерно не е забранен записа и ако е - отключва го временно, създава си ауторъна + папката с екзето и отново го заключва. Ако е така - евала... Антивирусните четат кода във файла и виждат какво прави, за да решат дали е вирус или не, а като се появи вирус, веднага се добавя в дефинициите. Някои са просто мутирали стари и си ги хващат, но със старото име. Това с писането на файла зависи от това как програмата заключва флашката. Може да е просто въпрос на Permission-и. Link to comment Share on other sites More sharing options...
Midex Posted May 17, 2012 Share Posted May 17, 2012 Някой по-сведущ по въпроса, може ли да обясни на мен, а и на останалите неориентирани като мен, каква е разликата при отварянето напр. на флашка през My Computer и Explorer? Имам предвид, че при първия начин е опасно да ти се прикачи дадено екзе с ауторън, а при втория не, но защо е така...понеже екплоръра се явява един вид като външен viewer ли? Link to comment Share on other sites More sharing options...
w00x Posted May 17, 2012 Share Posted May 17, 2012 Някой по-сведущ по въпроса, може ли да обясни на мен, а и на останалите неориентирани като мен, каква е разликата при отварянето напр. на флашка през My Computer и Explorer? Имам предвид, че при първия начин е опасно да ти се прикачи дадено екзе с ауторън, а при втория не, но защо е така...понеже екплоръра се явява един вид като външен viewer ли? През големите икони в дясната страна на MyComputer се задейства всякакъв autorun, който имаш на устройството. Било то CD или флашка. Ако цъкнеш на дървото в ляво, autorun-а не се задейства, а се прескача и ти отваря устройството за разглеждане. Link to comment Share on other sites More sharing options...
future Posted May 17, 2012 Share Posted May 17, 2012 Антивирусните четат кода във файла и виждат какво прави, за да решат дали е вирус или не Абсолютно не е вярно. Давам пример: В инсталационния файл filerecovery-demo.exe съм скрил файла crack.exe. Естествено, операцията е направена с криптираща система, в случая RIJNDAEL 256. Значи имаме файл във файла. crack.exe във filerecovery-demo.exe Ето резултатите от вирустотал: резултат на файла filerecovery-demo.exe със скрития в него crack.exe https://www.virustotal.com/file/ee41824dbbdd92f8703db3a97ecc5134af779aca9d79e2ca8a2e37c664accc4a/analysis/1337283180/ резултат на crack.exe https://www.virustotal.com/file/918db24ff970a3166865d840132e296b408f789e699903e837d75fb1aba8713c/analysis/1337283282/ Само абсолютно начинаещ и незнаещ програмист би пакетирал работата си без криптиране. Явно визираш точно този случай, но той не важи за вирусописачите. Link to comment Share on other sites More sharing options...
w00x Posted May 17, 2012 Share Posted May 17, 2012 И като си го криптирал и си го набутал exe в exe, как ще го активираш? Link to comment Share on other sites More sharing options...
djadomraz Posted May 17, 2012 Share Posted May 17, 2012 Естествено, операцията е направена с криптираща система, в случая RIJNDAEL 256..... И как очакваш антивирусната да разпознае криптирания код? Само абсолютно начинаещ и незнаещ програмист би пакетирал работата си без криптиране. Явно визираш точно този случай, но той не важи за вирусописачите. Само че антивирусната ще засече код, който е маркиран като опасен или е близко до такъв според разни евристики. Що не пробваш към ехе-то на photoshop да залепиш крак с вирус - примерно така: copy photoshop.exe + crack.exe virustest.exe Пробвай така пък ела се обади ако не го хване. А за криптирането - има вируси, които се криптират и които мутират. Работата е там, че за да се декодира все ще има част, която да го прави. И те ей по тази част го хващат. Отделно ОС-а създава спънки при опит за стартиране на памет, маркирана като данни, т.е. за да се стартира обикновено се налага да се разкодира и евентуално запише на диска. Последното говоря леко наизуст - поправи ме ако греша. Link to comment Share on other sites More sharing options...
JiMbo Posted May 27, 2012 Share Posted May 27, 2012 Нека и аз се включа, тъй като имах такъв проблем Трябваше да изчистя един лаптоп от вируси, взех го вкъщи и започнах работа.... от самия лаптоп се пробвах да изтегля антивирусна но никакъв успех. Веднага щом напиша думата антивирус или вирус или име на някоя антивирусна например AVG или spyware и всичко останало автоматично ми се затваряха всички прозорци. Пробвах да пренеса с флашка инсталация на антивирусна от моя комп, но на лаптома беше невузможно стартирането и, затваряше се. Резултата беше заразен лаптоп и моя комп също + флашката Постоянно ми се стартираха разни измислени процеси и моите AVG и Spyware програми уж триеха нещата, но след рестарт пак същото. С много ровене из нет-а намерих спасението, с което се отървах от всичко - CureIt! се казва (Dr.Web CureIt!). Той е само 1 файл около 80мб - теглиш го, стартираш и сканираш, намира неочаквано много гадинки и ги маха. CureIt не може да се ъпдейтва, излизат с нови дефиници всеки ден и трябва наново да се тегли. Не съм много сигурен, но мисля че като си го изтеглиш можеш само 1 път да го ползваш, ако искаш пак - теглиш. И винаги е с различно име от произволни символи. (Например zcsq3a74.exe). На лаптопа единствено това не ми се засичаше като антивирусна и можех да стартирам. Не можах да повярвам, че ми излекува всичко Все пак е само едно exe и не е голяма играчка, пробвай. Link to comment Share on other sites More sharing options...
Ton4o Posted July 6, 2012 Share Posted July 6, 2012 Проверих две теми за боот-проблеми и двете заключени и за да не ставам лош за пореден път ще пиша тук, ако греша извинете. Стана ужасен проблем. Компютърът ми се рестартира като преди това ми дава син екран. За втори път ми се случва; първият път вирус ми беше изтрил някакъв Уиндоус файл и като го преинсталирах и се оправи.. Сега същата работа, но още по-зле, сега ми е изтрит драйвера на харда и никаква възможност за преинстал на Уиндоус (самия Уиндоус ми казва че неможе да се инсталира защото има проблем с драйвера на харда). Дори като сложа диска за драйверите на дъното не го приема защото пак заради липса на драйвер. Видял съм се в чудо, незнам какво да правя. Моля помогнете, Благодаря ви. Link to comment Share on other sites More sharing options...
w00x Posted July 6, 2012 Share Posted July 6, 2012 А защо си сигурен, че е вирус? Link to comment Share on other sites More sharing options...
Ton4o Posted July 6, 2012 Share Posted July 6, 2012 А защо си сигурен, че е вирус? Ами вариантите които ми казаха че са: - Или е вирус или е хак атака. Предния път го оправих, но сега няма управия, три боотабъл диска пробвах, но един резултат " не може заради драйвер на харда и клик F3 to quit. Какво да правя . Link to comment Share on other sites More sharing options...
w00x Posted July 6, 2012 Share Posted July 6, 2012 Какво е хак-атака? Каква ти е анти-вирусната? Какво ти е дъното и какъв ти е твърдия диск? Да не би случайно да ти е стар хардуера и да иска драйвер за SATA? Под Уиндоус не зарежда ли изобщо? Ако зарежда, няма как да ти е прецакан драйвера. Под Safe Mode зарежда ли? Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.