dobri.biz
Блог · Софтуер · Препълване на C:\

Препълване на C:\

Скоро попаднах на следния проблем: при windows машини се препълва системен диск C: (или там където се намира операционната система) без никаква видима причина.

Повечето антивирусни програми не показаха нищо.

След претърсване из Мрежата открих информация за услугата Microsoft TrueCrypt Service (MSTrueCyrt) - процес, който копира съдържанието на всички външни памети, закачени за системата (IDE, USB HDD-та, флаш памети и карти и т.н), в директория Windows. Там създава папки с име буквата  на съответното устройството и копира цялото му съдържание в тях. Създаваните папки са защитени от файловата система и скрити.

Решението на проблема е следното:

  1. Спиране на MSTrueCyrt.exe от таск мениджъра;
  2. Забраняване на Microsoft TrueCrypt Service в списъка с услуги
  3. Изтриване на MSTrueCrypt.exe от C:WindowsSystem32
  4. Изтриване на цялата копирана информация, която запълва ненужно системния дял
  5. Откриване и премахване на autorun.ini и директория System съдържаща файл AdobeRdr.exe от всички „заразени дялове”.

Ето и какво пише в autorun.ini:

[autorun]
open=SystemAdobeRdr.exe
shellexecute=SystemAdobeRdr.exe
shellOpen(0)command=SystemAdobeRdr.exe
shell=Open(0)

Най-лесно се познава дали дадено устройство е заразено: ако изберете с десен бутон и първото меню е Open(0), а не Open.

27.08.2008. 15:50

Кубер на 16.07.2010. 23:24

Браво за статията... и аз се бях заразил с тая гадост по някакъв неведом начин.

undo на 29.04.2009. 15:09

копелееее!
направо ме съсипа тая гад мрънса

мн съм благодарен за кратката но изчерпателна статия

Поздрави

фитнес на 24.02.2009. 16:13

Проблем с windos? - не е за вярване

Dess на 28.01.2009. 12:58

Мерси, много ми помогна този пост!

Добри на 29.12.2008. 20:20

Услуги при Windows -> http://www.theeldergeek.com/services_guide.htmПоказвазш скритите системни файлове и търсиш с Ctrl+F за autorun.ini. Ако се налага можеш да прегледаш всички такива файлове.

Vladimir на 29.12.2008. 14:40

Az dneska se sbluskah s tozi problem..no qvno e malko po razli4en.
1. MSTrueCyrt.exe go nqmam vuv spisuka s procesi
2.kude se namira toq spisuk s uslugi
3.MSTrueCrypt.exe go nqmam v system32,toi nod32 si go mesti,kato go zase4e,posle qvno pak se poqvqva,no v kraina smetka ne go namiram tam.
4.kude da tursq autorun.ini i v papka system nqmam tozi faila adoberdr.exe.
6te sum vi mn blagodaren,ako mi pomognete

vaipar4e на 19.11.2008. 14:13

Peter mnogo si zle daje dostaaaaaaaaaa bix kazala ebasi degradiralia tip molq vi da go go kaje nqkoi ako ne go pro4ete!

Yana на 12.11.2008. 23:13

Току що премахнах MSTrueCrypt.exe, но не откиривам папки с имената на устройствата. Ако може малко помощ :)
Как мога да открия тези папки, след като дам View Hidden Files в C:\Windows не ми ги показва?
Къде да открия Autorun.ini & AdobeRdr.exe?

Благодаря!

Добри на 30.09.2008. 18:06

От някой заразен носител най-вер.: флашка, карта на фотоапарат и т.н...
AVG вече открива вируса и го изтрива.

адаш на 30.09.2008. 16:00

благодаря за обяснението
много ми помогна

от вчера се боря с този проблем и ми е интересно как се появява.
не съм ъпдейтвал прозорците нито съм инсталирал програми или драйвери.

STRSHR на 24.09.2008. 11:26

Само да направя малко допълнение относно ефектите на въпросния паразит или там както му е името, понеже и аз го срещнах на една машина и имах възможност да го дебъгна. Освен гореизброените функции (регистрира сервиз "Microsoft TrueCrypt Service " и копира съдържанието на външните устройства за съхранение на данни), също така и записва всичко въведено от клавиатурата във файл в директорията на Windows с името IMgreeting.wav, разширението е подвеждащо, файлът си е текстов. Събраната информация се изпраща през определен интервал към crypto.mstruecrypt.info и съответно става достояние на определени хора. Така ,че освен сервиза и файла на "джаджата" и излишната копирана информация от преносимите носители е добре да се изтрие и горепосочения файл, както и да се сменят всички пароли, които вероятно е успял да изпрати паразита на своите автори.
Функциите не стигат само до тук, но не мисля че е нужно да изпадам в ненужни технически подробности. :)

Добри на 14.09.2008. 20:31

Дано да си решил проблема.
Ако имаш някакви въпроси - питай.

Не съм се старал да пиша много подробно упътване, т.к смятам, че не е необходимо.

peter на 13.09.2008. 18:37

svyr6i mi dobra rabota tvoeto opisanie mersi samo da kaja 4e me zatrudni malko poneje opisanieto ti e malko posno iskam da kaja 4e ne vseki den se sbluskvam s takiva ne6ta i ne sym naqsno koe e autorun.ini spisyk s uslugi i taka natatyk ina4e extra rabota mi svyr6i thn

Напиши коментар

* = задължителни полета


9 + 4 =