!Вирусы!, Achtung! Опции

[-=CHE@TER=-]

Блин!!!
Поймал ещё один вирус. Прямо хрень какая-то в последнее время с этими вирусами!

Всем в срочном порядке сохранить к себе на комп и запустить такой вот NoAutoRun.reg файл, после чего обязательно перезагрузить компьютер:

CODE

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:03ffffff

Он запрещает обработку "AutoRun.inf" для ВСЕХ дисков, даже если вы кликаете через эксплорер по ним, чтобы открыть (проверял на CD-ROM, жёстком диске и флэшке) - обработка "AutoRun.inf" ПОЛНОСТЬЮ игнорируется.

Появился какой-то зверский вирус - вот тут как его выковыривать (на китайском): Original article (перевод на инглиш).

Кому нужно - вот в этом посте: пост №26 находится код .BAT файла, который полностью удаляет вирус с компьютера.
If you need - this post contains batch file - Virus Removal Tool.

Кстати, если кому-нибудь что-нибудь об этом вирусе известно, а также известно, что он портит, и что нужно потом восстановить, или есть утилита от какого-нибудь производителя антивирусного софта, которая его автоматически херит, а если уже похерен, то фиксит следы его "деятельности" - обязательно пишите тут.

Отличительной характеристикой данного вируса является наличие файла AutoRun.inf в корне диска следующего содержания:

CODE

[AutoRun]
open=RUNAUT~1\autorun.pif
shell\1=??(&O)
shell\1\Command=RUNAUT~1\autorun.pif
shell\2\=??(&B)
shell\2\Command=RUNAUT~1\autorun.pif
shellexecute=RUNAUT~1\autorun.pif

Вместо ?? - какие-то непонятные символы.
А также скрытого каталога "autorun..", который так просто не схеришь (см. как это делают в Removal-скрипте).

На данный момент:
- Symantec с последними базами не видит этот вирус видит его (с базами за 09.09.2007 и старше)
- кашпировский с последними базами не видит этот вирус
- на форуме кашпировского прочитал, что, вроде бы, NOD32 блокирует работу вируса


Вот ещё что - если вам притащили флэшку с файлом "AutoRun.inf" - то:
1) Открывайте его блокнотом или FAR'ом.
2) Смотрите на какие файлы он ссылается и херьте как их, так и сам этот файл.

И постарайтесь, чтобы НИКТО НЕ ПИХАЛ СВОИ FLASH'КИ В ВАШ КОМП В ВАШЕ ОТСУТСТВИЕ!

[xkL0#J]

Есть ещё Dr.Web, который имхо, ни в чём не уступает вышеизложенным конкурентам. Мало жрёт систему, сканит когда надо и прост в эксплуатации.

Когда-то поставил антивирус от тов. Касперского. После установки, шарясь по своему винту, зашел в папку где был дистр. Nero 7-го, комп завис ("наверно проверяет дистрибутив" - подумал я) через 40! мин. комп завис полностью, мишь и клава перестали работать. Решение проблемы: reset и uninstall. После этого случая, ПО данной компании, меня больше не интересует. (Пусть лучше лепят хранители экрана, раз за столько лет так и не смогли сделать нормальный антивирус).

Вот моя история.
Недавно подхватил червя, сущее проклятье. В инет выхожу с помощью мобилы (это меня и спасло). Вечером решил проверить почту, подключился но через 2 сек. меня выбросило, а телефон по прежнему оставался в режиме пакетной передачи данных, Outpost молчит (какие-либо соединения отсутствуют) и Dr.Web тоже. А тем временем комп, через мобилу, используя GPRS соединение, начинал звонить на непонятный номер. На следующий день, на работе, обновил все базы на все имеющиеся антивири (Symantec, NOD32 и Dr.Web) и с этим боекомплектом пришел домой...
День 1:
Symantec - нашёл... впрочем он и сам не понял что он нашёл, короче какая-то херь с шести-буквенным, хаотично расположенным, названием. Хаотично расположенным потому что сначала нашёл - "njdfhl", а при повторном сканировании - "fhnldj". Потом он обнаружил в себе баг и решил рапортонуть своему создателю (ага, мне осталось только в инет выйти )
NOD32 - ничего не нашёл.
Dr.Web - ничего не нашёл.
День 2: (обновил базы)
Symantec - !!!ничего не нашёл!!! Походу точно какой-то баг.
NOD32 - ничего не нашёл
Dr.Web - ничего не нашёл
День 3 - 6: тоже самое .
За это время я обнаружил такое: в ветке C:\Documents and Settings\xkL0#J\Application Data появилась папка iamgreyuser в ней оказались 2 файла, названий не помню, но точно помню что exe-шник занимал 12kb, а другой без расширения - 128kb.
День 7:
Symantec - ничего не нашёл.
NOD32 - ничего не нашёл.
Dr.Web - находит две каких-то dll-ки, удалил. После перезагрузки они опять появились, в паке iamgreyuser ничего не нашёл! Загрузка в safe mode - результат тот же. Но на этот случай у меня есть XP которая грузится с болванки, ей не нужен винт грузится в оперативку. Там из cmd запускаю Dr.Web - находит 2 клятых dll-ки и !!!exe-шник в папке iamgreyuser!!!, как это понять я не знаю, получается червь блокировал действия антивируса. Но заразу всё-таки убил.

P.S. Кто лучше я не знаю, но с Dr.Web мне спокойней чем с монструозно-неудобным NOD32, а за Symantec-овский я вобще молчу.