!Вирусы!, Achtung! Опции

[-=CHE@TER=-]

Блин!!!
Поймал ещё один вирус. Прямо хрень какая-то в последнее время с этими вирусами!

Всем в срочном порядке сохранить к себе на комп и запустить такой вот NoAutoRun.reg файл, после чего обязательно перезагрузить компьютер:

CODE

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff

Он запрещает обработку "AutoRun.inf" для ВСЕХ дисков, даже если вы кликаете через эксплорер по ним, чтобы открыть (проверял на CD-ROM, жёстком диске и флэшке) - обработка "AutoRun.inf" ПОЛНОСТЬЮ игнорируется.

Появился какой-то зверский вирус - вот тут как его выковыривать (на китайском): Original article (перевод на инглиш).

Кому нужно - вот в этом посте: пост №26 находится код .BAT файла, который полностью удаляет вирус с компьютера.
If you need - this post contains batch file - Virus Removal Tool.

Кстати, если кому-нибудь что-нибудь об этом вирусе известно, а также известно, что он портит, и что нужно потом восстановить, или есть утилита от какого-нибудь производителя антивирусного софта, которая его автоматически херит, а если уже похерен, то фиксит следы его "деятельности" - обязательно пишите тут.

Отличительной характеристикой данного вируса является наличие файла AutoRun.inf в корне диска следующего содержания:

CODE

[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=??(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=??(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif

Вместо ?? - какие-то непонятные символы.
А также скрытого каталога "autorun..", который так просто не схеришь (см. как это делают в Removal-скрипте).

На данный момент:
- Symantec с последними базами не видит этот вирус видит его (с базами за 09.09.2007 и старше)
- кашпировский с последними базами не видит этот вирус
- на форуме кашпировского прочитал, что, вроде бы, NOD32 блокирует работу вируса


Вот ещё что - если вам притащили флэшку с файлом "AutoRun.inf" - то:
1) Открывайте его блокнотом или FAR'ом.
2) Смотрите на какие файлы он ссылается и херьте как их, так и сам этот файл.

И постарайтесь, чтобы НИКТО НЕ ПИХАЛ СВОИ FLASH'КИ В ВАШ КОМП В ВАШЕ ОТСУТСТВИЕ!

[-=CHE@TER=-]

Ну, может быть, NOD32 и лучший.
Мне как-то narmo показывал .PDF файл с его наградами - их там охренеть сколько. (*улыбается*)
Сам я юзаю Symantec, но он только файлы проверяет/лечит (при запуске/открытии/создании), т.е. процессы не блокирует когда они что-то "не то" делают. Таким образом, если что-то неизвестное случайно запустить - можно горько пожалеть. (*улыбается*)

Кашпировский - это ваще жесть. Мне его дали в качестве бесплатного приложения к компу лет 5 назад. Поюзал полгода и плюнул - даже с последними базами все вирусы подряд пропускает, который другие антивирусы уже 100 лет как знают к тому же ужас какой тормозной и глючный - лечил машину как-то так он апосля тысячи с чем-то вылеченных файлов намертво завис. (*улыбается*)

Ещё есть опыт юзания McAffee - у знакомых через почту был получен крутой червь, который себя в системных драйверах прописал. Уже не помню названия, но весь прикол был, что его даже в Safe Mode вытащить нельзя было, а его отличительной особенностью было то, что если попытаться создать файл с именем как у вируса (чего-то-там.sys) то компьютер сразу шёл в ребут, как будто RESET нажали.
Там стоял McAffee - я обновил к нему базы через Интернет, проверил весь жёсткий диск - ничего подозрительного не нашёл. Снёс к чёрту, поставил Symantec, обновил базы и снова сделал полную проверку бердана - хрясь и захерил этого червя. Более того он ещё 4 троянца нашёл, которые McAffee тоже прохлопал.

Вообще, всё, конечно, сильно зависит от того, насколько оперативно вирусы появляются в БД антивирусов - т.е. насколько часто пользователи туда эти самые вирусы шлют, чтобы их в БД добавили.
На моей памяти есть такой случий: как раз до того, как я купил комп (5 лет назад) стоял у меня дома старенький 286. И надо же было такому случиться - поймал я новый вирус, под DOS, который Dr.Web (он у меня стоял) не видел. К слову, кашпер и AidsTest (если, конечно, кто-то помнит эту древнюю утилиту) его тоже не видели. Попросил знакомых, у которых каспер был - те, сказали - ноу проблем. Дал им какой-то заражённый системный файл, они его залили куда-то кашперу и, через неделю, вышла БД кашпировского, которая уже лечила этот вирус. Далее было дело техники - взял эту БД-обновление к себе на комп и всё вылечил.

Так что, видимо, NOD32 просто пользователи больше любят. (*улыбается*)