Автор: geodimetr , 6 апреля 2007
Принес товарищ намедни системный блок. Дочка якобы подцепила чего-то из Интернета. Включаю. ХРюша SP2. Грузимся нормально. Однако, обнаруживаю, что ни одна программа из установленных в списке "не заводится". Смотрю внимательнее... Боже ! Размер всех *.exe файлов, находящихся в папке Program Files, равен нулю !

"Автоматическое восстановление", однако, отработало нормально, поэтому в последней папке "откатов" все *.exe-шники благополучно сидели. Но это бы было пол-беды ! Когда я заглянул в папочку "Мои Документы", где наивная дурочка хранила Все-Все-Все, включая десяток гигов фотографий, видеозаписей, музыки и прочих документов... волосы встали дыбом. Именно в этой папке (и только в ней !) ВСЕ БЕЗ ИСКЛЮЧЕНИЯ файлы с расширениями *.jpg, *.avi, *.mp3, *.txt, *.doc имеют размер 0 байт. Посмотрел Диск Едитором - и начальный кластер у ВСЕХ ТАКИХ ФАЙЛОВ - тоже нулевой.

Ну, с помощью Final Data и R-Studio гигов 8 хлама и обрывков я ей вытащил. Но никакие самые свежие антивирусы, Зайцев и прочие Hijack-еры ничего необычного в машинке не обнаружили. Sophos о таких хулиганских вирусах ничего не знает, как и Данилов с Кашпировским. Интернет-сообщество, однако, изобилует заголовками типа "Как в две строчки нарисовать программку, обнуляющую размер файла..." Вообще говоря, сама-то задачка для восьмиклассника. Процесс прост и очевиден. Гораздо сложнее сделать это в два этапа (см. ниже), незаметно для пользователя, да еще и следов не оставить.
Здесь уже некое умение требуется.

Вот, в связи с этим у меня и возникает вопрос:
Самоделка это местная, или кто-нибудь уже с такой гадостью сталкивался ?

Из доп. признаков:

1. Эта гадость отработала, судя по всему, в два этапа: 29-го числа вечером обнулила все *.exe файлы (только из папки Program Files), при этом штатно отработало ХРюшино автовосстановление, забэкапив все изменения.

2. 30-го числа, сразу после включения компа, в течение двух минут были обнулены все остальные файлы с вышеуказанными расширениями. И опять - ТОЛЬКО В ПАПКЕ My Documents текущего профиля. Все остальные папки/диски остались нетронутыми. На компе, принесенном 2-го числа, следов самой этой гадости найти не удалось.
Содержимое данного поля является приватным и не предназначено для показа.
О текстовых форматах

BBCode

  • HTML-теги не обрабатываются и показываются как обычный текст
  • You may use the following BBCode tags:
    • [align]
    • [b]
    • [code]
    • [color]
    • [font]
    • [hr]
    • [i]
    • [img]
    • [list]
    • [quote]
    • [s]
    • [size]
    • [spoiler]
    • [sub]
    • [sup]
    • [table]
    • [u]
    • [url]
  • Адреса веб-страниц и email-адреса преобразовываются в ссылки автоматически.

rgt

18 лет 10 месяцев назад

Меня про такое спрашивали на этой неделе, а началось это похоже в прошлую пятницу. Описание очень похоже.
К сожалению о проблеме знаю только из разговора по телефону.
Секретутка большого начальника, которая считает, что когда ей не требуется выполнять пожелания руководства, самое время пошарить по инету в поисках новой развлекаловки устроила такое не только на своем компе, но и на сервере, где хранились документы, причем не только ее.
Я, правда, предположил, что механизм обнуления файлов был таков:
Вирус начал внедряться во все файлы, тупо открывая их на запись, а антивирус, обнаружив это пресекал попытку записи, в результате файлы оказывались нулевой длинны. Естественно, это только гипотеза, "свечку не держал"...

geodimetr

18 лет 10 месяцев назад

Непохоже это на работу антивируса.

Во-первых, это происходило бы дольше, а не за две минуты 5 тысяч файлов.
Во-вторых, кто же тогда все эти файлы не только сделал нулевого размера, но еще и начало им всем объявил с нулевого кластера ?
В-третьих, за компом во время этого действа сидела та самая хозяйка, которая ничего не заметила... а ДРВЕБ - что, ни на один убиваемый файл так ни разу и не вякнул ? НЕ ВЕРЮ ! Да и в логах его ничего про вирусную активность на этот день не было.

Тем более, два этапа отработали в следующем раскладе: за первый проход убиты все *.exe-шники из папки Program Files, в том числе и антивирус. Так что... утром 30-го числа, когда началось "масовое избиение младенца", никаким антивирусом на компе уже и не пахло.

А вот насчет прошлой пятницы - так это именно то: как раз 30-е число!
Но однако, Интернет-сообщество по-прежнему молчит...

Lenchik

18 лет 10 месяцев назад

Похоже появились странные вирусы, или по дате на первое апреля сработали. Ко мне принесли два компа и отдельно жесткий диск. Жалоба у всех одна, виндовс слетел, а обратно не устанавливается.

Данных ценных там не было. Я тоже попробовал с ноля поставить. Из дистрибутивного диска ХР удалил разделы, создал по новой, применил быстрое форматирование. Не помогает, винда при первой же перезагрузке, после копирования файлов, выдает ошибку о том что операционной системы не обнаружено.

Мне помогло стирание MBR с помощью MHDD и новое форматирование всего диска. Но у меня задачи сохранить данные не было. Компы и диск были детей, с играми. Принесли эти компы разные люди.

Еще принесли отдельно материнку, с тем же заявленным диагнозом, не ставится ХР. Посмотреть не успел. В пондельник посмотрю. Но внутренний голос подсказывает, что там тоже самое. То есть она наверняка полностью исправна.

geodimetr

18 лет 10 месяцев назад

Ну, Ваша проблема - совершенно другого плана. И вирус другой. Что-то типа бутового. Тот, что грохает Partition или приводит ее в неудобочитаемое состояние. Если только это - такая проблема легко решается, утилит восстановления системной области - до дури есть. Та же Windows PE с этим прекрасно справляется. В моем же случае - "нормальному" восстановлению утраченные файлы не поддаются, так как полностью нарушены (обнулены) соответствующие MFT и директорные входы.

Baza

18 лет 10 месяцев назад

А Р-студию и пр. натравливал?

rgt

18 лет 10 месяцев назад

Baza Перечитай первый пост...