Это вирус (троян точнее) причём давольно популярный (Sasser) и антивирусники его хапают только так...

banifatich
Если это полностью текст батников то либо там стоит ещё что-то, либо ничего он не архивирует и rar.exe (как и lsass.exe) там только для вида, а файлы сливаются в один и без спец-софта запаришься потом их извлекать (проще пиво от водки отделить)

virus

это не он и ты не думаешь, что под таким именем можно скомпилить любую прогу для любых целей?

Я это прекрасно знаю, более того я знаю что тот кто это прислал почти так и сделал
(т.е это не Sasser в чистом виде) но в основу лёг именно троян и это я могу гарантировать...

(вирус HeatPC помнишь ? точно такая же фишка сделанная точно таким де путём)

потерпевшим меня назвали! я не потерпевший, только из любопытства это г скачал, чтобы всем рассказать...
меня больше интересует были ли еще такие случаи сообщений от этого "маньяка"?

А ты не допускаешь такого случая, что из lsass.exe вызывается выполнение rar.exe с опциями архивирования с паролем тех самых %temp%\dvr\mtml32.ini и т.д.? Когда файлы уже в один слиты.
Допустим там ничего не архивируется...

Какой, блин, спец-софт? Это всё WinHEX' ом или HEXWorkshop'ом делается. Открываешь в хексовщике файл, и рубаешь на отдельные. Главное различить начало одного и конец другого, но это можно по заголовкам файлов сделать.
Знаток, ё моё!

Ну, извини, СЧАСТЛИВЧИК. Зачем тогда ветку сделал?

Если бы он ложил mp3 в один файл а doc в другой то труда это не составило бы

Допускаю именно по этому и написал

Да причём тут это. Судя по скрипту(bat файлу), сначала сливаются файлы с одним расширением, а потом в этот же целевой файл, сливаются файлы с другим расширением. Открываешь любой файл, по типу потерянного в хексовщике, и смотришь первые байты. Для *.mp3 это будет - 49 44 33. Для *.doc - D0 CF 11. Это и есть почти заголовок файла. Затем ищешь эту комбинацию в том самом %temp%\dvr\mtml32.ini - вот начало одного из файлов и режешь по нему. И т.д.
Добавлено спустя 3 минуты, 35 секунд
Подтверждаю слова QNX - это не вирус и не троян. Это скорее "почтовая бомба". Милая вещица, для тренировки ума.

И я заражен, вот как нехорошо. Мой каспер долго ищет что-то... Есть алтернатива антивирусу, чтоб быстрее?

QNX ну, тогда пущай как я говорил, режет хексовщиком. Так и восстановит. Если ещё не поздно, и %temp% не почистил. Блин, во марОки ему будет.

Что мне делать? объясните на пальцах!

Drager ветку читать.

Не знаю как вам, а мне касперыч сказал так...

эх вы знатоки , значит так , при запуске friend.chm происходит :
1 открывается фаил index.html

Ты видишь в окне просмотра только Hello! , а ещё запускается фаил fall05.exe
2 fall05.exe = это самораспаковывающийся архив
содержит фаилы :
1.bat - 5.bat - скрипты
rar.exe - консольный рар
lsas.exe - первый раз в жизни соглашусь с qnx , lsas.exe это не вирус , он запускает rar.exe
сначала запускаются фаилы от 1.bat до 5.bat , они не скидывают все фаилы в один, как полагалось некоторыми авторитетами , которые не знают ни команд dos ни могут посмотреть dir -? , оттуда бы они узнали что с помошью ключей /s /b /a просто скидывают списки фаилов в один.

1.bat в mtxoc32.ini - фаилы с расширениями doc , xls , rtf , mdb , xml , nfo , txt.
2.bat в mtml32.ini - htm , html , css , php , php , cgi.
3.bat в emsxpm32.ini - mp3.
4.bat в ottor32.ini - jpg , pdf , lnk.
5.bat в nvxow32.ini - psd.

после этого запускается lsas , он запускает rar.exe с параметрами :


-df (фаилы после архивации удаляются) -ep2(сохрянять пути) -hp (зашифровать) -p(print file to stdout) -tl(поставиить время архива как последнего фаила) -y (да на все вопроссы) -inul (отключить сообщения) -idp (отключить отображение процентов)

Пострадавшим : наити фаилы
stertd.rar , abery2.rar , vuentu.rar , menait.rar , mech4e.rar и попробовать пароли которые после -hp

Мудистр твоя прожка вызвала только смех и сочувствие

Virus это не вирус совершенно ,мудистр слишком тупой, ты попробуй запусти вылезет окно следушего содержания :
#77
только запускай в отдельной папке тогда точно ничего не грозит

пароль чтобы остановить счетчик : $23#7L@:8$g%f27N8)4g*f78T^vg4_f=v7+D6v&32(vDf$65QvfC[7bv7645b+f76;v76

Я искрене надеюсь что fin и другие участники конференции изменят своё отношение ко мне

HAZARDOUS Ну чё ты сразу наезжаешь. Ну ступил я по-поводу /sba. Но ведь по - я правильно предполагал. Я только предположения делал, думал QNX уже этим занимается. Поэтому даже декомпилить не стал. А вообще, МАЛАДЭЦ!

Магистр просил запостить.

banifatich как зачем ветку создавал??? ведь весело! столько споров, рассуждений а на файло мне пофиг! у меня на том жестком, на котором я этот лохотрон запускал ничего толкового нет. да и не одной пропажи я пока не обнаружил. а вои решешения для действительно пострадавших по их наивности уже я вижу отискали! а значит ветка не бесполезная! 8)))

а Hello эт конечно сильно! браво! ну кто дадумается читать продолжение тупого анекдота ввиде скомпилированого файла справки?!!! да еще и с таким весом! туда бы война и мир влезла бы... кстати если ктонибудь знает продолжение напишите плизззз! а то интересно всеж 8))))

А пиндец не доглядел просто на скорую руку прожку написал

Чтоб посмареть какие параметры передаются. И не думал что магистр так поступит. Ну тогда значит вот
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\zipasswd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\rapasswd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\acpasswd
здесь смотрим
Кстати для школьного уровня неплохо на васике кодишь

ищи себя в высказываниях чайников


по словам этого кретина мудистра если бы админисрация выполнила их дебильные требования (какие они такие и требования) они бы дали всем прожку которая читает в реестре пароль извлекает архив , это не развод

HAZARDOUS я вот хоть убей ни одного архива не вижу! где их искать то???

DENLaDEN поиском stertd.rar , abery2.rar , vuentu.rar , menait.rar , mech4e.rar