Вирус. Странный (?)

[Vuru]

Принесли мне флешку, попросили открыть, прочитать "ворд"овский документ.

 

Знаю ,что принесший мне флешку - слабовато разбирается в этом всем. Открываю и удивляюсь.

Странный внешний вид ворда

видя стрелочку ярлыка, разумеется, решил глянуть, куда ведет.

и вуаля.

 

предлагаемое для командной строки

 

 

C:\WINDOWS\system32\cmd.exe /c cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&start требования" "к" "реферату.doc&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&start Microsoft" "Excel.WsF&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&exit

 

 

я нихрена не понял, но не быть мне осторожным сисадмином сумасшедшим, если не проверю, чо мне подсунули

 

Запускаю этот как бы вордовский документ

и вижу...

 

Насколько я понимаю, у создателя документа на ПК какая-то хрень обитает.

 

а кто-то в двух словах скажет, что пыталась запускать эта штука?

скрипт какой-то, похоже

[Даниэль]

Тут подсказывают: вирус шифровальщик, ищи скрытые файлы и что-то про авторан. :scratch:

[Grax]

http://www.google.ru/search?q=excel+wsf&hl=en-RU&biw=&bih=&gbv=2&sa=X&as_q=&nfpr=&spell=1&ved=0CBAQvwVqFQoTCJ_lzKuiuMcCFUaPcgodTL4DsA

[yellow_rabbit]

а кто-то в двух словах скажет, что пыталась запускать эта штука?

эта штука

1. подменяет на флешки все файлы, точнее делает их скрытыми, а по их именам делает ярлыки.

2. в этих ярлыках она 

2.1 размножается

2.2. запускает нужный файл

 

сам вирус легко удаляется руками.

деструктивных действий не нашел.

 

PS: я уже описывал подобный вирус и лечение.

 

UPD: на компе почему то не размножается, только на флешках.

[Vuru]

Да я нашёл скрытые-то)

Забавно, что винда не позволила изменить атрибуты через "свойства" - не активно окошко с галочкой. А тоталком справился

[yellow_rabbit]

 

 

А тоталком справился

вот тыж программист

там разные циски, баши и прочие страшные слова знаешь.

и как ты только тоталом пользуешься? как тебе это религия позволяет?

[Vuru]

 

 

как ты только тоталом пользуешься?

я даж в циске тоталкоммандером пользуюсь

[Nazarich]

autorun 

этому вирусу сто лет в обед

@yellow_rabbit,я тоже тоталом пользуюсь, фар неудобный

но я и не программист

[Vuru]

 

 

autorun 

этому вирусу сто лет в обед

Сегодня-завтра мне привезут тот ПК, гляну

[Nazarich]

Серег, Заяц же сказал

на компе почему то не размножается, только на флешках.

[Vuru]

да мне в принципе притащут его для ....

 

кароч, поковыряюсь.

 

Антивирусы ничего не сказали про эту флешку. Никакие вирустоталы не реагируют.

 

В общем, привезут, гляну

[yellow_rabbit]

сейчас тоже такой вылечил.

он не совсем авторан.

т.е. надо самому сначала запустить ярлык, чтобы привести вирус действие.

и опять никакого деструктива не нашел.

 

флешку привезут, там файлик Excel.WsF должен быть, выложи, еще раз глянем чего в нем интересного.

 

 

 

тоже тоталом пользуюсь

... и добавил: оболочки дешевые, мышами воняют (с) командир ком.

[Vuru]

 

 

флешку привезут, там файлик Excel.WsF должен быть, выложи, еще раз глянем чего в нем интересного.

флешку уже не привезут. Компьютер привезут

А та, на которой были эти ярлыки с командой для cmd, уже не приедет 

[bubin_bom]

Лечил простым скриптом

 

 

:lable
cls
set /p disk_flash="Vvedite bukvu vashei fleshki: "
cd /D %disk_flash%:
if %errorlevel%==1 goto lable
cls
cd /D %disk_flash%:
del *.lnk /q /f
attrib -s -h -r autorun.*
del autorun.* /F
attrib -h -r -s -a /D /S
rd RECYCLER /q /s
explorer.exe %disk_flash%:

[Racer_Mobile]

Лечил простым скриптом

ой... вот так сразу все ярлыки в топку ?

а в теории направление правильное, спасибо.

[Yustik]

 

@yellow_rabbit,я тоже тоталом пользуюсь, фар неудобный

unreal commander удобный, есть некоторые глюки, конечно, но зато бесплатный

иногда напоминает о пожертвованиях и потом снова работает

 

 

и опять никакого деструктива не нашел.

самый затратный вариант узнать, что делает вирус - анализатором шину sata разобрать, посмотреть, куда лезет при запуске

геморно, долго, а главное - не понятно зачем нам это

[yellow_rabbit]

 

 

unreal commander удобный, есть некоторые глюки, конечно, но зато бесплатный

скажи в чем удобство?

фар и был то всегда бесплатным для exUssr, а уж когда Рошал отошел от него, стал полностью фри.

[Yustik]

скажи в чем удобство?

фар и был то всегда бесплатным для exUssr, а уж когда Рошал отошел от него, стал полностью фри.

эволюция файловых менеджеров у меня была dos navigator - total commander - unreal commander

в связи с привыканием к предпоследнему, последний оказался весьма кстати; из плюсов для меня - легкая постановка в очередь копирования, доступ к ftp

far'ом не пользовался никогда, поэтому даже не знаю, что он умеет

[yellow_rabbit]

 

 

поэтому даже не знаю, что он умеет

все что тотал и анрил + еще кучу всего

[кОСТЯ]

эхх вирусы, винда по кусанная....кто-бы почистил, да антивирусник помог поставить.

[yellow_rabbit]

 

 

кто-бы почистил

 

из любимого

 

Папа, а почему солнце всегда встает на восходе, а заходит на западе?

папа поворачивает голову с красно-воспаленными глазами к сыну

- Всегда восходит на востоке?

сын: - Всегда

папа: - заходит всегда на западе?

сын: - Да

папа: - ничего не глючит? все работает нормально?

сын: - да, все нормально

папа: - Ну так и не трогай там ничего!

[кОСТЯ]

В том то и дело, глючит.

[Vuru]

хз, куда написать.

Темы о вирусах плодятся быстрее самих вирусов.

Предыстория.

напрягла меня аська 10 версии.

не нравится.

Качнул старую, 8-ю.

Утром запускаю... херакс - снова 10-я

 

Забил. Взял и установил мейл-агента (будт они неладны оба)

Знаю, что это одна контора, но все же...

 

 

Седня установил агента, пошел пить чай. Прихожу, а тут...

 

Простейший инструмент показал следующее

  

 

Неохота снова заниматься выковыриванием этого, казалось бы, безобидного говна

просто "откатился" на вчерашний день

 

KES10 на них не реагирует

не вирус же

[striker]

а чо не так? браузер еще их поставь, и guard, чтобы не удалилось ничего из их софта случайно. 

И сожги комп радуйся жизни.

[Vuru]

а чем пользоваться-то?

не агент, не аська

 

 

 

суки