Препълване на C:\
Скоро попаднах на следния проблем: при windows машини се препълва системен диск C: (или там където се намира операционната система) без никаква видима причина.
Повечето антивирусни програми не показаха нищо.
След претърсване из Мрежата открих информация за услугата Microsoft TrueCrypt Service (MSTrueCyrt) - процес, който копира съдържанието на всички външни памети, закачени за системата (IDE, USB HDD-та, флаш памети и карти и т.н), в директория Windows. Там създава папки с име буквата на съответното устройството и копира цялото му съдържание в тях. Създаваните папки са защитени от файловата система и скрити.
Решението на проблема е следното:
- Спиране на MSTrueCyrt.exe от таск мениджъра;
- Забраняване на Microsoft TrueCrypt Service в списъка с услуги
- Изтриване на MSTrueCrypt.exe от C:WindowsSystem32
- Изтриване на цялата копирана информация, която запълва ненужно системния дял
- Откриване и премахване на autorun.ini и директория System съдържаща файл AdobeRdr.exe от всички „заразени дялове”.
Ето и какво пише в autorun.ini:
[autorun]
open=SystemAdobeRdr.exe
shellexecute=SystemAdobeRdr.exe
shellOpen(0)command=SystemAdobeRdr.exe
shell=Open(0)
Най-лесно се познава дали дадено устройство е заразено: ако изберете с десен бутон и първото меню е Open(0), а не Open.
27.08.2008. 15:50
Peter mnogo si zle daje dostaaaaaaaaaa bix kazala ebasi degradiralia tip molq vi da go go kaje nqkoi ako ne go pro4ete!
Току що премахнах MSTrueCrypt.exe, но не откиривам папки с имената на устройствата. Ако може малко помощ :)
Как мога да открия тези папки, след като дам View Hidden Files в C:\Windows не ми ги показва?
Къде да открия Autorun.ini & AdobeRdr.exe?
Благодаря!
Добри на 30.09.2008. 18:06
От някой заразен носител най-вер.: флашка, карта на фотоапарат и т.н...
AVG вече открива вируса и го изтрива.
благодаря за обяснението
много ми помогна
от вчера се боря с този проблем и ми е интересно как се появява.
не съм ъпдейтвал прозорците нито съм инсталирал програми или драйвери.
Само да направя малко допълнение относно ефектите на въпросния паразит или там както му е името, понеже и аз го срещнах на една машина и имах възможност да го дебъгна. Освен гореизброените функции (регистрира сервиз "Microsoft TrueCrypt Service " и копира съдържанието на външните устройства за съхранение на данни), също така и записва всичко въведено от клавиатурата във файл в директорията на Windows с името IMgreeting.wav, разширението е подвеждащо, файлът си е текстов. Събраната информация се изпраща през определен интервал към crypto.mstruecrypt.info и съответно става достояние на определени хора. Така ,че освен сервиза и файла на "джаджата" и излишната копирана информация от преносимите носители е добре да се изтрие и горепосочения файл, както и да се сменят всички пароли, които вероятно е успял да изпрати паразита на своите автори.
Функциите не стигат само до тук, но не мисля че е нужно да изпадам в ненужни технически подробности. :)
Добри на 14.09.2008. 20:31
Дано да си решил проблема.
Ако имаш някакви въпроси - питай.
Не съм се старал да пиша много подробно упътване, т.к смятам, че не е необходимо.
svyr6i mi dobra rabota tvoeto opisanie mersi samo da kaja 4e me zatrudni malko poneje opisanieto ti e malko posno iskam da kaja 4e ne vseki den se sbluskvam s takiva ne6ta i ne sym naqsno koe e autorun.ini spisyk s uslugi i taka natatyk ina4e extra rabota mi svyr6i thn
Предишна статия: Ето го и него
Следваща статия: Бързи и Яростни 4
Напиши коментар
* = задължителни полета