четверг, 8 сентября 2011 г.

После проверки антивирусом пропали файлы, папки, данные.

  Сегодня просят посмотреть внешние накопители. USB-винчестер и флешку. У хозяйки там было записано куча всего. После того как она проверила их нашим лицензионным антивирусом все пропало. Он нашел там много заразы. Он их наверно стер. Она тут же поправляет, что объем занятого места не изменился. Так что скорее всего данные остались. Но их не видно.
  Первая мысль, что они все-таки стерты антивирусом, с ходу отмел. Наш корпоративный антивирус молча пытается лечить, а если не удается, то переносит в свой карантин. Который на системном диске. Т.е. объем занятого на накопителе пространства изменился бы. И менять свои настройки пользователям он не дает.
  Сразу вспоминаю привычку некоторых вирусов ставить атрибут "скрытый" и/или "системный" на файлы и папки. В проводнике включаю видимость скрытых и системных файлов и смотрю внешний винчестер. И действительно -  вот они голубчики. Папки с документами, фото и фильмами. И на всех папках стоят атрибуты "скрытый" и "системный". В под-папках  этого уже нет. Ну я их сейчас легко сниму. Свойства папки, галочка нужного атрибута снимается. И не снимается. Галочка скрытого атрибута затенена. Проводник не дает снять скрытый атрибут.
  В итоге оба атрибута снял в Far Manager, в котором есть такая функция. Еще помогла командная строка и "attrib -s -h имя_папки_или_файла"
  В проводнике обратно отключаю видимость скрытых и системных файлов.
  Напоследок хочется разобраться что же нашел антивирус. Просмотр его логов показал, что вирус присвоил всем папкам в корне диска/флешки атрибуты "скрытый" и "системный". И записал в корень же файлы с расширением *.lnk и именами, совпадающими с именами скрытых папок. В этих ярлыках антивирус обнаружил заразу и перенес их в карантин. Никаких зараженных исполняемых приложений антивирус не нашел. Зараза явно хотела, чтобы человек нажал на эти ярлыки. Но почему я не вижу самого вируса?
  Вспомнил, что где-то читал про специально созданные файлы ярлыков, которые позволяли чего-то там выполнить то-ли повысить свои привилегии в системе. Может это из той же оперы.
И еще. Я так и не разобрался как он запретил в проводнике галочку снятия атрибута.