!Вирусы!, Achtung! Опции

[-=CHE@TER=-]

Блин!!!
Поймал ещё один вирус. Прямо хрень какая-то в последнее время с этими вирусами!

Всем в срочном порядке сохранить к себе на комп и запустить такой вот NoAutoRun.reg файл, после чего обязательно перезагрузить компьютер:

CODE

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff

Он запрещает обработку "AutoRun.inf" для ВСЕХ дисков, даже если вы кликаете через эксплорер по ним, чтобы открыть (проверял на CD-ROM, жёстком диске и флэшке) - обработка "AutoRun.inf" ПОЛНОСТЬЮ игнорируется.

Появился какой-то зверский вирус - вот тут как его выковыривать (на китайском): Original article (перевод на инглиш).

Кому нужно - вот в этом посте: пост №26 находится код .BAT файла, который полностью удаляет вирус с компьютера.
If you need - this post contains batch file - Virus Removal Tool.

Кстати, если кому-нибудь что-нибудь об этом вирусе известно, а также известно, что он портит, и что нужно потом восстановить, или есть утилита от какого-нибудь производителя антивирусного софта, которая его автоматически херит, а если уже похерен, то фиксит следы его "деятельности" - обязательно пишите тут.

Отличительной характеристикой данного вируса является наличие файла AutoRun.inf в корне диска следующего содержания:

CODE

[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=??(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=??(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif

Вместо ?? - какие-то непонятные символы.
А также скрытого каталога "autorun..", который так просто не схеришь (см. как это делают в Removal-скрипте).

На данный момент:
- Symantec с последними базами не видит этот вирус видит его (с базами за 09.09.2007 и старше)
- кашпировский с последними базами не видит этот вирус
- на форуме кашпировского прочитал, что, вроде бы, NOD32 блокирует работу вируса


Вот ещё что - если вам притащили флэшку с файлом "AutoRun.inf" - то:
1) Открывайте его блокнотом или FAR'ом.
2) Смотрите на какие файлы он ссылается и херьте как их, так и сам этот файл.

И постарайтесь, чтобы НИКТО НЕ ПИХАЛ СВОИ FLASH'КИ В ВАШ КОМП В ВАШЕ ОТСУТСТВИЕ!

[-=CHE@TER=-]

Dr.Web
Заколачиваю последний гвоздь в крышку гроба этого антивируса - до кучи к моим предыдущим проблемам:
1) Дебильная система обновления: один раз обновились файлы "drweb_en.chm" и "drweb_ru.chm", после чего программа потребовала перезагрузки компьютера (!), т.к. были установлены критические (!!) обновления. Походу у них всё, что не антивирусные базы требует перезагрузки, неважно нужна она или нет.
2) Почему-то Dr.Web помимо программ на Delphi ещё и люто ненавидит Opera - при открытии любой вкладки, даже пустой, программа подвисала на 3-5 секунд. После удаления Dr.Web всё опять стало летать.
3) Когда у меня кончился ключ, Dr.Web продолжал показывать окно с количеством дней до его истечения. Только если раньше было 30, 15, 10, 9... 0, то теперь оно пошло в обратную сторону: 1, 2, 3, 4, 5... и т.д. Слов нет - тупо до невозможности.
4) После удаления этого ублюдского антивируса, я скачал с их FTP программу для окончательного удаления всего за собой (они рекомендуют ей пользоваться если, вдруг, выйдет новая версия их программы, чтобы старая за собой всё убрала) - называется "drw_remover.exe". Запустил, ввёл капчу, она чего-то поделала и предложила перезагрузиться. Перезагрузился. Как было в системе от Dr.Web насрано - так и осталось. Куча какого-то дерьма в Program Files, в %AppData% вообще какие-то .EXE с .DLL валяются, а самое главное - остался EventLog "Doctor Web"! И его ещё хрен удалишь!!! Вот, нашёл как вручную его снести, для тех кто имел несчастие поставить себе это дерьмо под названием Dr.Web:
http://www.jinweijie.com/windows/delete-event-log-manually/
Я искренне желаю всем сотрудникам этой ублюдочной фирмы вечно гореть в Аду!


Microsoft Forefront Endpoint Protection
Упёр с работы этот антивирус. Решил поставить и, что бы вы думали? Он потребовал с меня планировщик! Удалил без зазрений совести.


Microsoft Security Essentials
Решил попробовать его младшего, бесплатного и не такого навороченного брата. Поставить-то поставил, но вот дальше начался гемморой. Как я уже говорил, я держу службу Автоматического обновления всё время выключенной из-за того что она безбожно жрёт процессор. Включаю раз в месяц посмотреть какие новые обновления появились и их поставить. Этот же гадский антивирус сделал морду лопатой и по-тихому включил службу, да не просто включил, а с настройкой загружать и устанавливать не спрашивая никого об этом. Увидев такое дело я вынес через XPLite все скачанные обновления, потому что там был 8-ой Internet Explorer, который я ставить в упор (как и 7) не хочу, потому что мне нужен 6-ой для тестирования сайтов которые я делаю под ним (для Интернета я использую FireFox). Но и тут меня поджидал сюрприз - при отключении службы обновления... отключается и антивирус! Ну надо же! И это убожество тоже пришлось удалять.


ESET NOD32 Antivirus
Поставил это штуку. При установке главное выбрать ручную инсталляцию компонентов и отключить установку ублюдского Яндекс.Бара. После установки в памяти всего два процесса, как Axsis и говорил - ekrn.exe (ядро - 20 Мб) и egui.exe (оболочка - 1,5 Мб). Что, надо заметить, весьма по-божески кушает память в отличие от всех предыдущих антивирусов, не говоря уже о количестве процессов! Насчёт скорости работы, то тоже не могу не удивиться - быстро работает, зараза. Для интереса даже вышел на какой-то подозрительный сайт в гугле ("этот сайт может нанести вред вашему компьютеру") - так всплыло окно, что NOD32 заблокировал какой-то опасный элемент на этом сайте. Т.е. всё работает и, главное, быстро!

В общем, остановился на этом антивирусе - пока полёт нормальный, особых нареканий по работе нет. Разве что при ручном обновлении программа чего-то уж сильно долго думает на первом файле "update.ver".
Чёрт подери, неужели таки нашёл нормальный антивирус? Аж самому не верится. (*улыбается*)