HARDW.net

Добавлено: Вт Июн 26, 2007 3:06 pm

Сегодня принесли на подьем инфы винт Хитачу на 200гиг.
Проблема со слов клиента заключается в том что файлы все видны, все на месте, но те что нужны все нулевого размера.
Винт разбит на 4 раздела FAT32 и NTFS (к типу FS не привязано).

На всех четырех разделах следующая картина.
Живые и не вредимые следующие файлы:
*.EXE *.DLL *.DB *.INI *.SYS *.BMP *.PDF *.JAR ну и множество тому подобных системных файлов.
Также с уцелевшим размером остались все файлы с атрибутами скрытый системный только для чтения, также уцелели все файлы ранее удаленные и в потеряных записях.

Теперь самое главное.
Файлы с обнуленым размером:
*.DOC *.XLS *.JPG *.MP3 *.AVI *.TXT *.HTM *.ZIP *.RAR
и тому подобные более значимые файлы.
На некоторых разделах изредка встречаются не обнуленые файлы этих типов, но их не больше 1% от всего количества файлов.

Я не знаю что это и как это называется, но я такое вижу впервый раз.
Если у кого есть какие идеи, высказывайте.
Желающим могу сделать копию этого харда, только давайте куда 200 гиг сливать.

Добавлено: Вт Июн 26, 2007 3:12 pm

Да еще хочу добавить...
Сканирование по сигнатурам дает 36 гиг, что гдето четверть от предполагаемого полезного обьема.

Добавлено: Вт Июн 26, 2007 3:30 pm

Уже с таким два раза столкнулись... похоже на новый вирус ((( Тоже лежит винт на 250 гиг, но там еще и PDF пострадали

Добавлено: Вт Июн 26, 2007 3:34 pm

Мне просто интересно знать что это за дрянь такая и как от оной предохраняться.
Щас озадачиваю поисковики и вирусные экциклопедии, пока ничего подобного не встретил...

Добавлено: Вт Июн 26, 2007 3:37 pm

сталкивался с таким не однократно
но пока тоже не удалось ничего путного с них достать.

Добавлено: Вт Июн 26, 2007 4:14 pm

Andrey A Kireev
уже ломали копья по Drefir.E

http://forum.ixbt.com/topic.cgi?id=11:35463
http://forum.ixbt.com/topic.cgi?id=11:33546

Добавлено: Вт Июн 26, 2007 5:35 pm

Хороша дрянь...
Еще не встречал виря более вредоносного, ВинЧих по сравнению с ним просто конфетка...

Добавлено: Чт Июн 28, 2007 5:20 pm

Мои пациенты сходятся в том, что бяка эта возникает после просмотра открытки, пришедшей по мылу...

Скан на предмет вирусов всякими касперскими и т.п. ничего не находит. То бишь либо оно самоуничтожается, либо отрабатывает из памяти, либо просто его ни один AV пока не знает...

На ФАТе оно убивает всю цепочку ФАТ полностью, посему жопа полная.
На НТФСе вроде как обнуляет первые несколько байт ранлиста. Хотя по идее должно обнулять один байт, который размерный...
Вообще шо оно творит на НТФС я толком ещё не разглядывал, про несколько байт - это с чужих слов, у меня все последние пациенты с ФАТом.

вот такая фигня...

Добавлено: Чт Июн 28, 2007 6:04 pm

Цитата:

Скан на предмет вирусов всякими касперскими и т.п. ничего не находит.

Ну так он себя тоже 0 длины делает. Потому и не находят. Но если монитор антивирусный стоит с последними обновлениями, он его перехватывает.

Добавлено: Пт Июл 20, 2007 9:12 pm

С такими фокусами и мне недавно довелось столкнуться, когда инфу с ВД восстанавливал - там был слетевший транслятор. Причем описание, приведенное в первом посте этой ветки, точка в точку совпадает с моим случаем...