usbcash.exe или вирус под Linux? (алярм! :))

[--=Civil696=--]

дык снести это все и забыть

дык я так и поступаю, просто раздражает необходимость чёт там ручками сносить =_=

[inkvizitor68sl]

так.... ещё круче..... появилась какая то дрянь которая превращает папки в .exe.... соотвеццна трындец моей флешке) хорошо хоть для личных целей использую внешний винт и не втыкаю его в универе....

Bluetooth
есть. каспер..... этим всё сказано.

да и что вы вообще хотите от универа, где я на паре с правами гостя в системе тихо мирно слил GoldenFTP из инета, поставил на своём компе, настроил на доступ ко всем диска/флешкам/сдромам, потом весь фтпшник с конфигом залили в c:/program files на сервере и запхал это дело в автозагрузку( при том хакингом я никогда не занимался и делал только то, что знакомо как бывшему админу сети (типа про с$ d$ и т.д.)

[rain_99]

Блин, сколько разных авторанов с флешки в последнее время развелось.

кстати да
после каждого похода в инст, с флешкой, на ней появляется нечто вроде

Код: Выделить всё

navi ~ $ cat /mnt/flash/autorun.inf
[autorun]
open=
shell\open=Explore
shell\open\Command=rundll32.exe .\\nvrsfk.dll,InstallM
shell\open\Default=1

nvrsfk.dll соответственно тоже прилагается...
интересно чё эта

Такая же фигня - никто не может подсказать что это такое? Вставили в комп флешку - открытся флешла не смогла, Аваст ничего не нашел. После чистки на компе с линуксом - все открылось. только вот с инета за это время стянулось около 70 мег с каких то подозрительных IP. Качалось бы и дальше - да только провайдер заблокировал за минусовой баланс комп с виндой.

[Benden]

В ХР "лечится" это следующим образом: идешь в "Панель управления" > "Администрирование" > "Службы", ищешь службу "Определение оборудование оболочки" и отключаешь ее... флешки лучше открывать через Total Commander или что-то наподобие, если через "Мой компьютер", то по двойному щелчку вместо открытия флэхи запустится авторан. Ну а после открытия уже антивирем шмонать...

З.Ы. Как в Висте - хз, никогда с ней дела не миел.

[HomeCraft]

Я с этими флеш-авторан-вирусами часто сталкиваюсь. Как правило оформлено в виде Autorun.inf или desktop.ini в которых указан путь к экзешнику или длл-ке. Но это не суть. Суть в том, что некоторые экзкшники и длл-ки находятся в директории Recycled или Recycler. Там вложенные директории типа S-1-5-...... Дык вот если попытаться в линуксе удалить все лишнее хозяйство возникает ошибочка типа "невозможно удалить .../S-1-5-....../ctfmon.exe отсутствуют права...". Под рутом удаляется нормально.

[--=Civil696=--]

Дык вот если попытаться в линуксе удалить все лишнее хозяйство возникает ошибочка типа "невозможно удалить .../S-1-5-....../ctfmon.exe отсутствуют права...". Под рутом удаляется нормально.

Кстати да, несмотря на то что смонтировано с umask=000, удалить эту гадость удаётся только из под рута

[guglez]

А ни кто не пробовал на здоровой флешке создавать пустые Autorun.inf и desktop.ini и давать им права только на чтение ?

[--=Civil696=--]

Код: Выделить всё

navi ~ $ rm /mnt/flash/*
navi ~ $ touch /mnt/flash/Autorun.inf
navi ~ $ touch /mnt/flash/desktop.ini
navi ~ $ su
Пароль:
navi ~ # ls /mnt/flash/* -l
-rwxrwxrwx 1 root root 0 Апр 29 21:40 /mnt/flash/autorun.inf
-rwxrwxrwx 1 root root 0 Апр 29 21:40 /mnt/flash/desktop.ini
navi ~ # chmod 444 /mnt/flash/*
navi ~ # ls /mnt/flash/* -l
-rwxrwxrwx 1 root root 0 Апр 29 21:40 /mnt/flash/autorun.inf
-rwxrwxrwx 1 root root 0 Апр 29 21:40 /mnt/flash/desktop.ini
navi ~ # logout
navi ~ $ rm /mnt/flash/*
navi ~ $ ls /mnt/flash/*
ls: невозможно получить доступ к /mnt/flash/*: Нет такого файла или каталога

Учитывая что на флешке FAT16, менять права чего либо, занятие довольно бесполезное...
К чему собственно вопрос? (=

[HomeCraft]

Что-то с Linux я совсем расслабился. Дня два-три назад распечатывал файлик на чужом компьютере (срочно надо было) с флешки. Спустя время обнаружил, что все папки превратились в одноимённые exe-шники. Гугл дал много ссылок 2-х, 3-х летней давности. Из них следует, что надо "лечить касперским" и "папки на месте, они просто скрыты". Так вот df выдаёт, что занято 1,4 ГиБ, а сумма размеров файлов по ls -l получается 134 МиБ. Получается что физически папки есть. Как их прочитать в linux?

[SLEDopit]

Как их прочитать в linux?

Емнип, такая штука просто создавала кучу ехешников по названиям директорий, а сами папки делались скрытыми. Только вот я запамятовал, линукс скрытые виндовые директории понимает как скрытые или нет (:

[kma21]

Насколько мне известно, то Linux'у пофиг на атрибуты Windows'овские. Т.е. по-идее, всЁ скрытое должно быть видно. Это раз. Два, что пресловутый "Каспер" не помогает в должной степени. Эпидемию на 2-х компах смогли вылечить только с помощью Avira и LiveCD Dr. Web, Это не пропаганда последних, это антипропаганда "Каспера". А если серьЁзно, то как человек имеющий частые "встречи" с ноутами с Windows (общага как-никак), хочу сказать, что не стоит надеяться на 1-н антивирь (если про них пошЁл разговор).
А вообще я держу Win XP в виртуалке и снапшотом. После каждой работы восстанавливается снапшот. Всяко безопаснее, чем держать там же антивирь.

[/dev/random]

Что-то с Linux я совсем расслабился. Дня два-три назад распечатывал файлик на чужом компьютере (срочно надо было) с флешки. Спустя время обнаружил, что все папки превратились в одноимённые exe-шники. Гугл дал много ссылок 2-х, 3-х летней давности. Из них следует, что надо "лечить касперским" и "папки на месте, они просто скрыты". Так вот df выдаёт, что занято 1,4 ГиБ, а сумма размеров файлов по ls -l получается 134 МиБ. Получается что физически папки есть. Как их прочитать в linux?

Этих директорий точно не видно? Может, они просто куда-то перемещены? Попробуйте du -sh. Если всё равно слишком мало, возможно, испорчены "длинные имена". В этом случае попробуйте подмонтировать флэшку (в readonly!) без поддержки "длинных имён", т.е. как -t msdos, а не -t vfat.

[frp]

Кстати да, несмотря на то что смонтировано с umask=000, удалить эту гадость удаётся только из под рута

Не правда, там просто права только на чтение. Поменять права и можно удалять. Проверено.

[BIgAndy]

Wined запущено?
Если да, то поздравляю! Wine допилили до совместимости с вашими масдайвирусами

БЫло такое уже...

[HomeCraft]

Благодаря советам /dev/random нашёл свои каталоги со всем содержимым. Они оказались перемещёнными в каталог e2e2~1 в корне флешки. Увидеть его удалось только при монтировании с типом файловой системы msdos. Жаль, что длинные и русские имена файлов/каталогов потеряны.

[oper777]

Не обязательно было монтировать с теми параметрами.

Можно было вот так: http://www.oper777.co.cc/2011/03/blog-post.html

Длинные имена сохранились бы.

[HomeCraft]

oper777!
Это наилучшее решение. Спасибо!