Методы удаления скрытых(в т.ч. вредоносных) файлов

Наздрюль · 01 Січень 2008, 16:04:34

Меня интересует вопрос: можно ли и как можно удалять файлы через коммандную строку в Виндовз ХР???
у меня такая штука: антивирус определяет червь С:\autorun.inf
этот файл совсем невидим, но через коммандную строку его можно открыть удалить не получается...пишет неудаётся найти ***
у меня антивирус стоит AVG, но он не лечит этот файл....может подскажете хороший антивирус....

βεερ_βooρ · 01 Січень 2008, 16:10:50

Цитата: Наздрюль від 01 Січень 2008, 16:04:34
Меня интересует вопрос: можно ли и как можно удалять файлы через коммандную строку в Виндовз ХР???

Команда DEL

Lagovas · 01 Січень 2008, 17:23:26

Не флуди, не пиши два подряд поста, есть кнопка изменить в правом верхнем уголке поста. По теме, у меня также антивирус, но уже НОД 32 на флешке друга все время находит вирус в этом же файле, й аналогично не видим, так что мне тоже будет интересно узнать ответ на этот, как бы, вопрос.

Edd.Dragon · 02 Січень 2008, 02:44:15

А включить в настройках папки "отображать системные" и "отображать скрытые" не судьба?

Если файл доступен антивирусу, то он точно так же доступен Эксплореру. Чтобы не лазить по настройкам папок - пользуйтесь Far-ом или Total Comander-ом. "Ctrl+H" - и скрытые файлы видны, еще раз "Ctrl+H" - и снова не мешают.

ziga69 · 02 Січень 2008, 22:37:05

В windows отображаются не все скрытые файлы. Есть файлы SuperHidden. Чтоб их увидеть надо поменять значение с(0) на (1) в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"ShowSuperHidden"=dword:00000001 . А этот вирус хорошо ищет сканер "cureit" скачать можно с DRWEB

Edd.Dragon · 03 Січень 2008, 00:23:42

Цитата: ziga69 від 02 Січень 2008, 22:37:05
В windows отображаются не все скрытые файлы. Есть файлы SuperHidden. Чтоб их увидеть надо поменять значение с(0) на (1) в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"ShowSuperHidden"=dword:00000001 .

Про настройки отображения папок (диалог "Свойства папки", закладка "Вид") я уже писал выше.
Несложно догадаться, что "ShowSuperHidden" - это опция "Скрывать защищенные системные файлы (рекомендуется)". Так что, незачем ее искать в реестре.

Haleev · 03 Січень 2008, 13:54:14

Касперский 7 - рулит, удалял этот файл на флешке наура, кстати Avast тоже справился!

Andrews Track_tor · 03 Січень 2008, 14:16:46

Вопрос по теме - этот вирус создаёт ещё и папочку в корневом каталоге, так вот её удалить низзя. Может кто знает как её удалить?

Black Kulya · 03 Січень 2008, 14:33:36

Утилитой для полного затирания файлов.

Andrews Track_tor · 03 Січень 2008, 14:36:45

Цитата: Black Kulya від 03 Січень 2008, 14:33:36
Утилитой для полного затирания файлов.

Спасибо очень информативно

. Я уже кое что нашёл 1, 2. Попробую, может поможет

Edd.Dragon · 03 Січень 2008, 14:53:48

Цитата: Andrews Track_tor від 03 Січень 2008, 14:16:46
Вопрос по теме - этот вирус создаёт ещё и папочку в корневом каталоге, так вот её удалить низзя. Может кто знает как её удалить?

А вы уверены, что это вирус? Вирусы так нагло себя не ведут.
Флешка случайно не СанДиск?

Black Kulya · 03 Січень 2008, 15:28:32

Это вирусы. У меня флешка нонэйм и с ней та же фигня.

2 Andrews Track_tor одна из утилит для полного затирания файлов Wyseinfo из пакета Norton Utilites. В названии мог допустить ошибку (давно не пользовался).

Andrews Track_tor · 03 Січень 2008, 15:44:38

Цитата: edd_k від 03 Січень 2008, 14:53:48
А вы уверены, что это вирус? Вирусы так нагло себя не ведут.
Флешка случайно не СанДиск?

Флешка называеться "Диск С:\"

. И эта папка появилась вместе с вирусом. Папка называеться "runauto..". После удаления этого вируса "авторана" папка всё равно остаёться. И никак не хотит дэлэтится.

Edd.Dragon · 03 Січень 2008, 15:58:52

Цитата: Andrews Track_tor від 03 Січень 2008, 15:44:38
Флешка называеться "Диск С:\" . И эта папка появилась вместе с вирусом. Папка называеться "runauto..". После удаления этого вируса "авторана" папка всё равно остаёться. И никак не хотит дэлэтится.

А, понятно. Если не хочет делетиться - значит какой-то процесс держит ее открытой.
Если не трудно, заархивируйте эту папку (желательно с авторанами и dll-ками с корневика) и выслать на edd_k(at)mail.ru - вечером сравню, у соседа видел что-то подобное, но только на C: не бросает, а только на флешки.

Andrews Track_tor · 03 Січень 2008, 16:07:18

Цитата: edd_k від 03 Січень 2008, 15:58:52
Если не трудно, заархивируйте эту папку

С этой папкой ваще невозможно ничего сделать - ёё винда вобще как бы не знает

. Под безопасным режимом тоже, вобщем пепец полный. А форматировать нельзя - Винда лицензия. Жду ещё предложения и советы.
З.Ы. И автору пора бы изменить название темы на что-то типа "Как избавиться от вируса "autorun"

R@MS · 03 Січень 2008, 16:09:26

Загрузись с Live CD и делай с этой папкой что хочешь

samand · 03 Січень 2008, 16:44:32

У меня на работе стоит F-Secure Anti-Virus Client Security. Так вот, мне много приходиться работать с флешками, и он их (имеется ввиду, autorun.inf) без проблем удалял. Вирус не успевал ничего сделать...

Edd.Dragon · 03 Січень 2008, 23:56:54

Цитата: Andrews Track_tor від 03 Січень 2008, 16:07:18
С этой папкой ваще невозможно ничего сделать - ёё винда вобще как бы не знает .

Ну значит для начала нужно убедиться, что в памяти не висит никакой лишний процесс, блокирующий папку. Опять таки в Фаре например для каждого процесса из списка можно посмотреть детальные свойства и обнаружить те же поддельные svchost-ы по строке запуска (заодно и увидеть из какой ж... это запущено). Если таковых процессов не обнаружено - проверить права доступа и владельца папки (добавить себя, если необходимо).

Опять таки, как подсказали - загрузиться с CD и удалить папку (или переместить в какое-то другое место для дальнейшего изучания).

Ну и главное, найти таки антивирус, который обратит внимание на это безобразие. Как минимум можно попробовать свежие демо-версии NOD-а и Касперского.

Bismark · 04 Січень 2008, 01:20:28

Цитата: Andrews Track_tor від 03 Січень 2008, 16:07:18
С этой папкой ваще невозможно ничего сделать - ёё винда вобще как бы не знает .

Установи прогу Unlocker, и разблокируй ту папку через эту прогу. Тогда можеш её спокойно удалить, а заодно и увидиш какой процесс её занимает.

Nightly Demon · 04 Січень 2008, 05:52:31

А в Досе не пробовали удалить?
Дос + Волков, часто помогает, я так много вирусов истребил.

nalsasha · 04 Січень 2008, 09:38:22

Попробуй Avira Antivir Personal Edition (www.free-av.com). Очень хорошо находит вирусы, причем даже неизвестные (ищет не по сигнатурам, а анализируя действия исполняемого файла). Правда он не лечит а только удаляет или в карантин. Загрузи бесплатную версию. Обновляется через нет.

nalsasha · 04 Січень 2008, 09:46:55

Еще поищи в system32 скрытые файлы (у системы в этой папке нет скрытых файлов). Чаще всего носитель вируса маскируется под нужную программу, прячется в системных директориях и подставляет вместо имени процеса свое внутреннее имя (можно посмотреть в свойствах ехешника - вкладка "Версия"). К примеру Файл "crt.exe", внутренее имя "svchost.exe" в процесах отображается как последний. Для анализа процесов можно использовать плагин под тотал командер AceHelper (Можно загрузить с сайта тоталкомандер). Плагин может показывать все - какая программа запускает процес, какой файл запускается, пути, прерывания, использование библиотек, активность и т.п.

R@MS · 04 Січень 2008, 10:04:06

nalsasha кнопку "Изменить" ещё не отменяли. Не пиши по два сообщения подряд. Накажу.

Sleven · 10 Січень 2008, 13:59:50

Я тоже через дос много истрнебил.Через дос их можно удалить, или посмотреть после чего в многих случаях они становятся видимы

Новини:

Методы удаления скрытых(в т.ч. вредоносных) файлов