Проблема с удалением файла

У меня проблема такая на флешке есть странный объект auto..опознается как файл но не удаляется. Что это и как это удалить программно. Может кто сталкивался с таким

 

http://www.wasm.ru/article.php?article=lockfileswork

 

это всеголиш флешка... format рулит...

 

red_Human
А какое сообщение выводится при попытке удалить? На flash обычно стоит FAT32, который прост, как две копейки. Вооружившись WinHex можно быстро во всем разобраться. По названию можно сказать две вещи: это либо троян, либо файл против трояна. Учитывая, что ты его создал не сам, вероятно это троян. Если это так, то он скорее всего он уже у тебя в системе и войну стоит начать в ОС. Ну или можно все же с flash, но тогда вероятно зверье может вернуться. А flash большая? Можно ли открыть этот autorun? Есть ли в нем ссылки на исполняемые? Есть ли лишние исполняемые на flash?

В общем, тут масса вариантов, нужно больше информации.

 

red_Human

Большая вероятность что троянчеГ как грит Mika0x65. Пробуйте файлосмотрелки типа IceSword и will obtain the total control on your system.

 

Mika0x65 Вы правы это трой, открыть не удается выводит сообщение что отказано в доступе она же(auto..) или вместе с ней создается autorun.inf. Так вот прога, которую я делал для чистки флешки удаляет все следы жизнедеятельности вируса кроме этого(auto..)

 

red_Human
м.б. зверёк есть и на тачке - и копирует себя каждый раз уже после "чистки", тогда само собой нужно зоопарк с компа вывести сначала.
можно и вручную FAT на флехе поправить, как уже было сказано выше
а что тебе мешает её форматнуть "раз и навсегда"?

 

Можно попробовать удалить странный объект с точной в конце имени с помощью del \\?\X:\auto.. в командной строке, где X - буква диска флешки.

 

А, ну если этот странный объект - папка, тогда rmdir вместо del, ессно.

 

Да кстати я ее и форматнул) Все вроде удалилось, но вопрос в том как удалить ее не прибегая к столь кровожадными методам и удалить ее не командной строкой, а функциями winapi. Потому что наблюдается веселая картина: FindFirst&FindNext видят объект, функция DeleteFile заглатывает имя этого файла, а команда dir из командной строки ничего не видит и победно говорит на флехе ничего нет) Далее DeleteFile ничего не удаляет, это показывает вторичная проверка флешки with FindFirst&FindNext. Вопрос как такое может быть? Хотя быть может причина в том что она действительно сразу копирует себя снова. Просто есть еще одно предположение: может имя объекта некорректно с точки зрения FAT32? Извините конечно, что продолжаю тему просто интересно разобраться)

 

Нед.

Не надо удалять прямо сразу - как сказано выше он уже скорее всего на тачке. Если нужно очистицца с тачки которая заражена - и флешку и комп, то сначала нужно замочить процесс (ы). Для этого упомянутый IceSword (бесплатно гуглиццо) или любой приличный файлосмотритель также нужен - посмотреть какие процессы активны и уничтожить если найдено все, что выглядит как гуан*

Но может быть так что процесс все равно не виден (редко) или он инжектнулся (тоже не виден). Поэтому в любом случае сначала нужна скопировать *.inf ну или просто открыть яго. Там посмотреть что именно он запускает, это будет какой-то модуль на флешке.

Вынуть флешку в этот момент.

Найдя модуль нужно найти все такие же на винте. Это особенна актуально если он не виден или инжект. Для этого можно искать файло с такми же именем (может и не помочь если он меняет имена), далее можно искать ** с фильтром по всему C: такой же точно размер или сначала определить характерную строку внутри (если меняет размер).

После того как он локализован на винте нужно его деактивировать. Если он не виден но удаляем (с помощью IceSword), то его удаляем***, если нет - поискать в реестре ссылки на этот модуль. Удалить ссылки**** и ребут, это может помочь.

Если удаление прошло успешна то чистим флешку отдельна и остарожна чтобы не перезаразить машина. Например - перегруз в safemode или погуглить как отключить афтозапуск с usb.

* Типа 1hbjs.exe стартовавший из system32.
** Я предпочитаю FAR, but it is up to you
*** Даже после удаления в IceSword нужно еще раз закрыть-открыть эту папку и убедицца что его там реально нет;
**** Если и это не помогло - тут уже нужно ковыряцца - SoftIce - bpx CreateFileA, просмотр списка kernel drivers, etc.

 

Пасибо!

 

Ваша правда запустил ProcessHounter и включил мониторинг и дейсвтительно создаются скрытые процессы когда вставляешь флешку и если производишь удаления сразу возникает еще два скрытых процесса, которые используют run32.dll. pid и названия отображаются у них некорректно

 

Мочите же их. Good luck

ps Что же касаецца вопроса почему их плохо видно и трудно удалить "обычными" методами - ответ в ресерче. От простого типа файл занят или "а команда dir" - можно сначала attrib *.inf -h -s -r.

 

Из за того что pidы некорректные мочить не хочет, а если pid корректный то открыть не может сам процесс, судя по всему на функциях работы с процессорами хуки стоят.

 

уточнение имя объекта runato..

 

Кстати вот и на статейку наткнулся http://zlava.livejournal.com/232202.html Да не хилый вирус оказывается)

 

Вобщем большое спасибо за помощь!

 

Вот читал вики и там сказано что если нижеследующее проделать то любой autorun.inf заменится по содержимому не рабочим содержимым [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYSoesNotExist"
Вопрос этот метод работает? И не подскажите как в этот ключ записать такое значение(какой это тип)

 

http://wasm.ru/forum/viewtopic.php?pid=360941#p360941