вторник, 02 ноября 2010
19:37

все записи пользователя в сообществе Аркк Флорр
Красотки ничего не производят, кроме смазливого впечатления.
[ok]

Нижеописанная проблемой, заключающаяся в том, что я втыкаю флешку в универский комп, а на том компе несколько видов вирусов - 1 вид, который я назвать не могу пока (поскольку в эту пару случаев, когда вирус лез на флешку, флешка оказывалась на проверке антивиром, который пусть находил не всё, а во 2 случае, я подозреваю, человек просто не стал проводить полную проверку, но антивирус кое-что находил и этот вирус удалял), превращает все уже имеющиеся папки в ярлыки со ссылкой на себя, а сами папки скрывает (да так, что их видит только антивирус, проводник и Total commander не видят), другой, по определению avast-a - LNK:Runner, накидывает свои ярлыки в корень, просто засоряя флешку. Может, там есть и 3-й - накидывающий ещё и какие-то пустые папки.
Ну и, собственно, вопрос, чем можно защитить папки от этого набора? Подойдёт ли вариант с самораспаковывающимся или обычным архивом? Замечу: вирус трогает только уже имеющиеся папки, созданные на том компе не трогает, и трогает только и исключительно папки, файлы он не трогает. Насчёт exe-шников вопрос, конечно, большой, поскольку вроде бы с 1 стороны, например, файлы cureit и anti autorun вирус не тронул, с другой стороны, вроде как тот вирус приложения не трогает, но был случай, когда после сования в другой институтский комп потом avast при проверке обнаружил вирус в antiautorun (в обычном случае всё нормально).
Какие ещё варианты есть?
На флешке я, конечно, таскаю cureit, но под вопросом - удастся ли проверить тот комп (без ведома препода не так просто, а с ведомав - не знаю, как тот отнесётся), да и вирус-то всё равно всё переделает.

@темы: Вирусы spyware и adware

URL
Комментарии
03.11.2010 в 10:59

Enkryptor
Ну и, собственно, вопрос, чем можно защитить папки от этого набора?

"чем защитить" — в смысле, какой программой, или что надо делать/не делать самому пользователю?
URL
03.11.2010 в 16:15

Enkryptor
флешка рид онли не спасёт?
URL
03.11.2010 в 18:38

Аркк Флорр
Красотки ничего не производят, кроме смазливого впечатления.
И то и другое. И программой, если можно, и что делать. Или в какой легкооткрываемую форму можно перевести папки, чтобы их и вирусы не трогали в то же время. (я, конечно, сформулировал не совсем понятно, наверное, ну хотя бы так - думаю в rar, но вот вопрос - сделает ли что-то с ними вирус)

флешка рид онли не спасёт?Сложно сказать, надо попробовать, но вот рид-онли на самих папках точно не спасает.
URL
03.11.2010 в 19:04

Enkryptor
Программы-то выполняются не на флэшке, а на компьютере, а к нему, я так понял, доступа нет (раз вирусы не вылечили). Т.е. задача сводится к тому, как вставить флэшку в зараженный комп так, чтобы он в ней ничего не напортил, я правильно понимаю?
URL
03.11.2010 в 19:37

Аркк Флорр
Красотки ничего не производят, кроме смазливого впечатления.
Комп институтский, регулярный доступ раз в 2 недели (и я за него и не отвечаю).
Т.е. задача сводится к тому, как вставить флэшку в зараженный комп так, чтобы он в ней ничего не напортил, я правильно понимаю? Ага. Ну или что-то сделать с её папками так, чтобы заражённый пк их, собственно, и не напортил.
URL
09.11.2010 в 19:40

Аркк Флорр
Красотки ничего не производят, кроме смазливого впечатления.
Ну так есть какие-то варианты, как защитить данные?
URL
10.11.2010 в 00:37

Enkryptor
Я ж говорю — флэшка с защитой от записи, больше никак. Иначе если "вражеский" комп может на неё писать — он может и напортить.
URL
10.11.2010 в 18:56

Аркк Флорр
Красотки ничего не производят, кроме смазливого впечатления.
Посмотрел на институтском компе (на другом, не заражённом). Скрытые вирусом папки он показал в проводнике, но вот галочка "Скрытый" стоит, и её нельзя изменить (или, наверное, только на том компе можно).
Ну и чем делать защиту от записи? И, кстати, можно будет программу, делающую этот режим, таскать на флешке, чтобы можно было, если что, этот режим снять (чтобы можно было что-нибудь записать на флешку)? Или режим рид-онли немного по-другому выглядит?
Попробовал, кстати, ради интереса поэкспериментировать. Вирус создаёт файлы пусть и из случайного набора букв, но этот набор одинаков, поэтому я создал самораспаковывающийся (заблокированный) архив, в архив я спрятал файл cureit-а и назвал его именем экзешки, созданной вирусом, ну и, соответственно, поставил рид-онли. Прокатит ли?
URL
11.11.2010 в 18:43

Enkryptor
Нет, не прокатит.

кстати, можно будет программу, делающую этот режим, таскать на флешке

Нет, нельзя. Программа выполняется на компьютере, а не на флешке. Есть флэшки, на которых есть переключатель рид онли — именно такую и надо найти.
URL
11.11.2010 в 19:05

Аркк Флорр
Красотки ничего не производят, кроме смазливого впечатления.
Т. е. новую флешку из-за этого покупать?....
И что-нибудь вроде упаковки в архив win rar нужных папок не поможет?
А почему не прокатит создание экзешки с одноименным названием?
URL
11.11.2010 в 19:35

Enkryptor
Хм. Похоже я опять перестал понимать, какая, собственно, стоит цель. Если нужно защитить флэшку от абстрактной угрозы — то никакие махинации с переименованием не помогут. Если же надо защититься от одного конкретного вируса — тогда тем более непонятно, почему его нельзя тупо удалить с заражённого компа и не парить себе мозг.

Упаковать в архив документы, конечно, можно, хоть это и не спасёт от удаления сам архив (если вдруг какой-либо вирус попробует его удалить). Но с таким подходом можно спросить, зачем вообще тогда записывать эти документы на флэшку? Если достоверно известно, что данная флэшка будет заражена, можно просто предварительно удалить с неё всё лишнее, да и после заражения сразу же отформатировать.

Т.е. в конечном итоге я не пойму, чем вызвана необходимость ставить себя в условия, требующие решения подобной проблемы.
URL
11.11.2010 в 19:51

Аркк Флорр
Красотки ничего не производят, кроме смазливого впечатления.
Потому что комп не мой, а институтский, и неизвестно, как отнесётся препод к тому, что я вместо того, чтобы чё-то за ним делать по учёбе, включу cureit и буду сидеть ждать, когда он всё проверит ну или хотя бы мою флешку (а я не знаю, можно ли отключить режим усиленной защиты или нет) проверит, да к тому же что-то делаю внеучебное на компе (1 препод нормально отнёсся к этому, что тогда мне позволило удалить с 1 институтского компа 400 вирусов из-под нода, но этот в некоторой степени своеобразный человек), да и то не факт, что это поможет, поскольку вирус, качающий другие вирусы, или размножающийся, может быть на недоступном гостям (а мы в институтские компы входим гостями) разделе, а то и на другом компе в локалке аудитории.
Что касается переименования (точнее, создания файла, имеющего то же название, что и создаваемый вирусом), т. е. вирус всё равно создаст свои экзешки? Даже с учётом того, что созданный мной экзешник только для чтения и является заблокированным архивом, и, по идее, 2 одноимённых файла рядом в одной папке не могут находиться?
Записываю я многие файлы на флешку, поскольку с этой флешки я печатаю что-то, относящееся к учёбе, или опять же что-то показываю, относящееся к учёбе + ещё и книги в электронном виде туда скопировал (т. е. это одно из хранилищ)
URL
11.11.2010 в 20:19

Аркк Флорр
Красотки ничего не производят, кроме смазливого впечатления.
Только что понял, что вирус делает с папками (случайно зайдя в свойства папки). Он их переводит в категорию защищённых системных (соответственно, скрывает их существование наличие галочки "скрывать защищённые системные файлы").
Ну и, соответственно, обновляется вопрос. Как сделать так, чтобы вирус не переводил мои папки в категорию защищённых системных? Опять же только с помощью флешки рид-онли?
URL
15.11.2010 в 21:02

Аркк Флорр
Красотки ничего не производят, кроме смазливого впечатления.
Ну ладно, ответа нет с этой стороны, но решение я нашёл, как и надеялся - спрятал содержимое папок в архив (для надёжности оставил инфу для восстановления). Архивы эта пакость вроде не трогает, даже 1 открыл - вроде файлы и папка целы.
Правда, создание на флешке sfx-архива, одноименного экзешке, создаваемой вирусом, не помогло - видимо, вирус хитрый и всё равно внедрил свой код даже в заблокированный sfx-архив, в результате чего пришлось его удалить.
URL
17.11.2010 в 13:25

Enkryptor
"Категория защищённых системных" — это просто установка аттрибута "системный" у файла. Это действие сродни, например, переименованию папки. Как сделать, чтобы вирус не мог переименовывать файлы на флэшке? По-моему, в общем случае никак.
URL
17.11.2010 в 18:11

Аркк Флорр
Красотки ничего не производят, кроме смазливого впечатления.
Жаль.
Ну, а если самому поставить атрибут системно защищённых файлов на нужных папках, чтобы вирус их не менял на скрытые?
URL
17.11.2010 в 18:58

Enkryptor
Нет аттрибута "системно защищённый файл". Есть "скрытый", "системный", "архивный" и "только чтение". Это просто флаги, они никак не влияют на доступ к файлу. Просто Проводник не показывает "системные" и "скрытые" файлы с настройками по умолчанию (но можно настроить так, чтоб показывал). Соответственно, если поставить флаг "системный" вручную, то папки у вас исчезнут из Проводника так же, как они это делают в результате активности вируса.

Кстати, то что Проводник не показывает эти файлы, не значит, что он не имеет к ним доступа. Если вручную набрать имя папки в адресной строке, она успешно откроется.
URL
17.11.2010 в 20:01

Enkryptor
напомнило байку —

Читатель:

— Как мне на мой емейл мои фотографии положить?

— Т.е. - приаттачить? Послать кому-то хотите?

— Нет, просто положить, чтобы они там лежали, а кто хочет, сами заходили и смотрели.

— Это не на емейл, - говорю, - это Вам надо страничку свою в инете заводить.

— Нет, - упорствует читатель, - Мне страничка не нужна. У моих друзей лежат фотографии на емейлах. Я тоже так хочу.

Блин, ну что делать, а?.. "А чем, - думаю, - почтовый ящик, в который человек ходит исключительно через http-интерфейс, не страничка?" Отсканил ему его фотки, отослал на его адрес аттачем с сабжем "Фотографии", показал, где в его инбоксе это письмо лежит, объяснил, как смотреть вложения, и посоветовал дать друзьям логин и пароль от его электронной почты.
URL
17.11.2010 в 21:50

Аркк Флорр
Красотки ничего не производят, кроме смазливого впечатления.
У меня нет галочки "Системный", у меня только 3 галочки на папке, могу показать скриншот.
И я всё же немного ошибся, говоря про галочку "показывать системно защищённые файлы" (она находится в меню "свойства папки", там, где "показывать/не показывать скрытые файлы и папки", могу скриншот показать) - она же лишь показывает или скрывает системно защищённые папки или файлы. А сделать её системной я не знаю, как (думал, что другими средствами). Так что искренне извиняюсь, я затупил.
Ну насчёт доступа - ну я как-то и не подумал, но понятно.
И я имею в виду немного другое - вот есть у меня системная папка, может ли это вирусу запретить переделывать её в скрытую (если возможно, что она системная и не даёт убрать атрибут скрытой)? Или системная = скрытая автоматически (как выше написано)?
Насчёт байки - юмора не понял и сходства с моей ситуацией не нашёл, простите за несообразительность. Да и этот вопрос решается даже без странички и угрозы данным юзера.
URL
17.11.2010 в 23:18

Enkryptor
У меня нет галочки "Системный", у меня только 3 галочки на папке, могу показать скриншот.

Всё правильно, проводник не умеет ставить или убирать этот аттрибут, он умеет только считывать его. Но это не значит, что этот аттрибут как-то по особому "защищен", просто МС по неким соображениям посчитала нужным сделать в Проводнике управление тремя флагами, а не четырьмя. В любом нормальном файл-менеджере этот флаг ставится так же, как и остальные три.
URL
17.11.2010 в 23:20

Enkryptor
вот есть у меня системная папка, может ли это вирусу запретить переделывать её в скрытую (если возможно, что она системная и не даёт убрать атрибут скрытой)? Или системная = скрытая автоматически (как выше написано)?

"системный" и "скрытый" — это два разных аттрибута. При этом Проводник с настройками по умолчанию не будет показывать ни файлы с аттрибутом "системный", ни файлы с аттрибутом "скрытый".

но это тут вообще не при чём, вирусу-то в принципе пофиг на Проводник, он же не через него с файлами работает
URL