Вирус Petya или не Петя? И как защититься?

Вы наверняка уже слышали о вирусе Петя (Ransom:Win32/Petya). Новый вирус, который уже успели окрестить и NoPetya и NotPetya, официально носит название Petya.C. Этот вирус модифицирует MBR (Master Boot Record – главная загрузочная запись), прописывает в него свой код и при перезагрузке шифрует файлы, требуя выкуп. Но еще он “научился” распространяться по локальной сети и использовать существующие уязвимости. Подробнее можно почитать в статье компании Майкрософт, где рассматривается случай с распространением через обновление бухгалтерского ПО MeDoc.

Как же спасти свой ПК от заражения подобным вирусом? Можно ли защитить MBR от перезаписи или запретить удаленный запуск приложений на ПК под управлением ОС Windows? Короткий ответ — можно. Как именно – читайте далее.

Читать остальную часть заметки »

Теги: , , , , , , , , , , , , ,

Удаление каталога с файлами-хардлинками

Пытался на Windows 8.1 удалить каталог, в котором полтысячи подкаталогов и в каждом по несколько файлов (или десятков файлов), которые являются хардлинками. Система на любой файл упорно выдавала ошибку, что файл не найден и Error Code 0x80070490 (Element not found). Единственный вариант, который реально удалял такие файлы, был Far, но удалять каждый файл по одному (сначала удалять хард линк, потом файл), мягко говоря, перспектива не хорошая. Удалить хардлинк из одного файла можно командой:

fsutil reparsepoint delete filename.ext

Затем удалить сам файл. Но это тоже нереально. Поэтому можно использовать рекурсивный цикл:

For /R %i in (*.*) do fsutil reparsepoint delete "%i"

После этого можно удалять каталоги прямо с файлами. К сожалению, такой вариант не удаляет ссылки у скрытых файлов, но тоже неплохо, удалось все удалить.


Теги: , , , , , , ,

вирусы не спят

Обнаружил у себя вот такую гадость:

B:\Support Tools>BITSAdmin.exe /LIST

BITSADMIN version 2.0 [ 6.6.3790.1830 ]
BITS administration utility.
(C) Copyright 2000-2004 Microsoft Corp.

{33403F93-3B74-495C-94C5-E4D9AE01A920} E:\tmp\GUR1.exe ERROR 0 / 1 0 / UNKNOWN
Listed 1 job(s).

Какой-то нехороший вирус прописался втихую в задания, но тела вируса я не обнаружил, как и записей о его уничтожении в антивирусе. Буду надеяться, что его все-таки нет в системе ;). «ERROR» свидетельствует о неудачном выполнении задания (файла ведь нет). А удалить запланированное задание можно так:

B:\Support Tools>BITSAdmin.exe /CANCEL {33403F93-3B74-495C-94C5-E4D9AE01A920}

BITSADMIN version 2.0 [ 6.6.3790.1830 ]
BITS administration utility.
(C) Copyright 2000-2004 Microsoft Corp.

Job canceled.

Проверяем:

B:\Support Tools>BITSAdmin.exe /LIST

BITSADMIN version 2.0 [ 6.6.3790.1830 ]
BITS administration utility.
(C) Copyright 2000-2004 Microsoft Corp.

Listed 0 job(s).

Ну, вроде бы все чисто. Был только найден файл E:\tmp\GUR1.tmp. И удален.

Утилиту BITSAdmin и еще пачку других можно установить вместе в пакетом Microsoft Support Tools. Думаю, такой набор не помешает geek’у 😉

P.S.

Чуть не забыл, сервис этот (фоновое выполнение заданий) называется «Background Intelligent Transfer Service» (BITS) и, скорее всего, у вас он работает, если вы регулярно устанавливаете обновления от Microsoft. У меня система давно не дружит с обновлялкой Майкрософта, поэтому на всякий случай сервис я отключил. Все равно от него ничего не зависит 🙂


Теги: , , , , , ,

В поисках точки G

Знакi

Есть определенная группа символов, которые называются непечатаемые символы, но которые в принципе можно напечатать с клавиатуры, увидеть и даже услышать. А если у вас есть замечательный редактор Notepad++, то вы можете видеть эти символы в красивом обозначении. особо большой пользы от этих символов нет, но есть скрытые таланты.

Точка G

Один из самых интересных непечатаемых символов – BEL. Он же – ^G. Но как набрать его с клавиатуры? Очень просто. На системе Windows нужно просто нажать CTRL+G в командной строке. В *NIX-системе (Linux/MacOS X/FreeBSD/etc.): CTRL+V+G.

А что он делает? BEL – от слова “bell” – звонок. Печать этого символа в консоль побуждает систему издать системным динамиком “пик”.

Чтобы пикнуть в системе Windows:

echo ^G

*NIX в текущей консоли (не важно, удаленный сервер/компьютер или тот, за которым вы сидите или вы вообще в PuTTy на Виндовс):

echo ^G

Если вы залогинены на удаленный компьютер, пикнуть системным динамиком того компьютера можно так (FreeBSD):

echo ^G > /dev/console

Вместо ^G можно использовать \a:

printf "\a"

Отключить пикание системным динамиком в FreeBSD можно так:

echo “hw.syscons.bell=0” >> /etc/sysctl.conf

Возбуждение. Пробуждение.

Читать остальную часть заметки »

Теги: , , , , , , , , , , , , , , , , , , , , , , , , ,

Командный интерпретатор ака cmd

Случилось мне захотеть написать bat-ник на Виндовс. Скрипты я редко пишу в cmd, поэтому наступил на древние грабли.

Мой моск никак не может понять, на кой хер майкрософт придумала ключ /d для cd?

C:\Documents and Settings\Administrator>cd E:\
C:\Documents and Settings\Administrator>

Так у вас ничего не получится.

C:\Documents and Settings\Administrator>cd /d E:\
E:\>

А так вы сможете перейти на другой диск.

Нажмите клавиши: [Windows]+[R] и в окошке наберите
cmd
Нравится? Нет?? Тогда повторите нажатие [Windows]+[R] и наберите
cmd /T:0A
Видите? The Matrix has you! =)


Теги: , , , , , , ,